1722279

Apple behebt Sicherheitsproblem, das Passwort-Klau erlaubt

11.03.2013 | 12:35 Uhr |

Vor einem halben Jahr hat ein Google-Forscher ein Sicherheitsproblem an Apple gemeldet. Nun wurde das Problem endlich behoben.

Schon im Juli 2012, berichtet der Google-Forscher Elie Bursztein, habe er Apple über ein Sicherheitsproblem im offiziellen App Store informiert - genauer gesagt: in der App des Stores. Erst letzte Woche, so berichtet er weiter, habe Apple endlich das Sicherheitsproblem behoben, indem es die verschlüsselte HTTPS-Verbindung aktiviert hat. Bis dahin soll es für Angreifer möglich gewesen sein, über die unverschlüsselte Verbindung sensible Daten der User zu stehlen. Etwa Passwörter. Dazu könnten die Hacker eine gefälschtes Popup auf dem Bildschirm ihrer Opfer anzeigen haben lassen, das diese zur Eingabe ihres Passworts auffordert. Doch nicht nur das Passwort war gefährdet, auch die Privatsphäre der User. Hacker konnten theoretisch auf die Liste der installierten Apps auf dem Gerät zugreifen - Datensammler bezahlen für solche Daten, welche ihre bereits vorhandenen Nutzerprofile ergänzen.

Außerdem sei das Unterschieben fremder Apps denkbar gewesen. An der Stelle des gedachten Updates einer App befindet sich dann eine völlig andere App auf dem iOS-Gerät, die der User überhaupt nicht installieren wollte. Angreifer hätten außerdem das Installieren oder Updaten unterbinden können, indem sie der App vortäuschen, dass sie oder das Update bereits installiert sei. Beide Möglichkeiten sind für App-Entwickler mit krimineller Energie sicher reizvoll, um die Verbreitung ihrer Apps voranzutreiben.

Warum Apple sich so viel Zeit mit der Aktivierung von HTTPS gelassen hat ist unklar. Apple fasst sich bei der Update-Beschreibung kurz: "Active content is now served over HTTPS by default. We would like to acknowledge Bernhard 'Bruhns' Brehm of Recurity Labs, Elie Bursztein of Google, and Rahul Iyer of Bejoi LLC for reporting this issue." (HTTPS ist nun standardmäßig aktiviert. Man dankt Bernhard Brehm, Elie Bursztein und Rahul Iyer für das Melden des Problems.)

0 Kommentare zu diesem Artikel
1722279