Im iPhone, iPad und in MacOS-Rechnern steckt eine riesige Sicherheitslücke. Weil Apple die verschlüsselte Daten-Übertragung fehlerhaft implementiert hat. Damit lassen sich alle verschlüsselte Verbindungen via Apple Mail, Facetime, Calendar, iBooks und Safari mitlesen – also beispielsweise https-Verbindungen im Browser. Auch die Software-Update-Funktion ist betroffen. Der Sicherheits-Experten Ashkan Soltani betont, dass also nicht nur Apple-Anwendungen dadurch unsicher werden, sondern auch Nicht-Apple-Anwendungen, die die in das Apple-OS integrierte Verschlüsselungstechnik nutzen. Auch VPN-Verbindungen könnten von dem Problem betroffen sind, das hänge aber von deren Konfiguration ab. Der Fehler steckt in der „Secure Transport library”, die für eine Vielzahl von Anwendungen die Verschlüsselung übernimmt. Unter anderem für den Datenaustausch mit Webseiten, die SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) verwenden. Die fehlerhafte Bibliothek wurde mit iOS 6 beziehungsweise MacOS X 10.9 eingeführt. Seitdem steckt die Sicherheitslücke in den betroffenen Betriebssystemen. Ein Angreifer kann die Sicherheitslücke für einen Man-in-middle-Angriff ausnutzen und die verschlüsselten Daten abfangen. Und dem Anwender eigene manipulierte Daten unterschieben. Adam Langley, Software-Entwickler bei Google: “Dieser Fehler steckt tief im Quellcode. Das ist ein Alptraum.” So lange das Sicherheits-Update nicht installiert ist, beziehungsweise so lange Apple das Sicherheits-Update nicht bereit gestellt hat, sollte man https- und andere verschlüsselte Verbindungen zumindest in öffentlichen Hotspots vermeiden. Apple hat ein Update zum Download bereitgestellt, das sofort installiert werden sollte. Das Sicherheits-Update für iOS 7.0.6 kann auf iPhone 4 und neueren iPhones, auf dem iPod touch (ab der fünften Generation) und auf dem iPad 2 und jüngeren Geräten installiert werden. Für MacOS steht das Sicherheits-Update jedoch noch nicht zur Verfügung. Zwar gibt es einen inoffiziellen Patch für MacOS, dieser ist jedoch nicht verifiziert.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.