Apple schliesst Sicherheitslücke im iOS-AppStore

| 11. März 2013

Mit einem Einzeiler auf den WebServer-Notifications meldet Apple die Lücke als geschlossen. Freilich, ohne das von einer explizieten Lücke gesprochen wird:

Active content is now served over HTTPS by default. We would like to acknowledge Bernhard ‚Bruhns‘ Brehm of Recurity Labs, Elie Bursztein of Google, and Rahul Iyer of Bejoi LLC for reporting this issue.

Diese Lücke entstand, da die AppStore-App der iOS-Geräte, also iPhone, iPad und iPod Apps und Updates sowie Kontodaten und Passwörter unverschlüsselt ohne SSL übertrug. Dies ermöglichte sogenannte Man-in-the-Middle-Angriffe. Dieser Fehler war unter anderem bereits durch Google-Forscher Elie Bursztein Apple im Juli 2012 gemeldet worden. In einem aktuellen Blogpost beschreibt Bursztein verschiedene, jetzt nicht mehr mögliche Angriffsszenarien.

Warum Apple diesen Schritt nicht bereits viel früher gegangen ist, bleibt unklar. Grundsätzliche Überlegungen zu SSL sind meist auf die Kapazität an Rechenleistung abgezielt – hier benötigt SSL mehr Kapazität auf dem Server. Dies dürfte aber für einen Weltkonzern von Apples Kaliber kein Problem sein.

Weitere Berichte zum Thema:

Stichworte: , ,

Kategorie: Nachrichten, Sicherheit, Smartphones, Software, Tablet-PC-Systeme

pdreuw

Über den Autor ()

Peter Dreuw schreibt gern über technische und naturwissenschaftliche Themen aus dem Tagesgeschehen. Dazu kommt ein großes Interesse an aktuellen Gadgets, vorzugsweise mit einem angebissenen Apfel.

Kommentare sind geschlossen.