Skip to content

In iOS gepatchter SSL-Bug besteht auch unter OS X - Wusste die NSA Bescheid? [UPDATE]

Geschrieben von Florian Schimanke am

Als Apple vergangene Woche einigermaßen überraschend iOS 7.0.6 veröffentlichte und dabei in den Releasenotes angab, mit der Aktualisierung "ein Problem beim Überprüfen der SSL-Verbindung" zu beheben, war man zunächst von einer einfachen Sicherheitsaktualisierung ausgegangen. Inzwischen schlägt das Thema aber um einiges höhere Wellen. So hat Apple gegenüber Reuters inzwischen erklärt, dass von demselben Problem auch OS X in seiner aktuellen Version betroffen sei: "We are aware of this issue and already have a software fix that will be released very soon." In Anbetracht der Tatsache, dass sich OS X 10.9.2 bereits seit einiger Zeit in der Betaphase befindet, darf damit wohl getrost von einer Veröffentlichung in der kommenden Woche ausgegangen werden. Das Problem betrifft lediglich Safari. Nutzt man einen anderen Browser, wie beispielsweise Firefox, ist man auf der sicheren Seite. Um zu überprüfen, ob man selbst betroffen ist, kann man die Webseite gotofail.com in Safari unter OS X aufrufen und bekommt entsprechende Auskunft. Ich rate allerdings von der Installation irgendwelcher nicht von Apple bereitgesteller Patches ab und empfehle stattdessen bis zur Behebung des Problems die Benutzung eines alternativen Browsers.

UPDATE: Inzwischen hat sich herausgestellt, dass nicht nur Safari von dem TLS/SSL-Bug betroffen ist, sondern auch andere Apps, die unter OS X verschlüsselte Verbindungen aufbauen. So z.B. iMessage, FaceTime, Twitter, Calendar, Keynote, Mail, iBooks, Software Update und weitere Anwendungen. Es wird also Zeit, dass Apple das Problem möglichst kurzfristig behebt.

Und auch an anderer Stelle sind interessante Details zu dem TLS/SSL-Problem aufgetaucht, die in engem Zusammenhang mit den Enthüllungen von Edward Snowden und der NSA stehen. So schreibt Jeffrey Grossman auf Twitter: "I have confirmed that the SSL vulnerability was introduced in iOS 6.0. It is not present in 5.1.1 and is in 6.0." Interessanterweise wurde iOS 6.0 Ende September 2012 veröffentlicht. Snowdens Dokumenten zufolge wurde Apple dann im Oktober 2012 in das PRISM-Programm der NSA "aufgenommen". Ein Schelm, wer Böses dabei denkt. Bevor nun aber wieder die Verschwörungstheoretiker dieser Welt darin eine Kooperation zwischen Apple und der NSA sehen, sei angemerkt, dass dies noch nichts beweist. Auf ImperialViolet wird der Fehler in Apples Quellcode sehr anschaulich dargestellt. Es geht letzten Endes um eine doppelt vorkommende Zeile mit dem Inhalt "goto fail;", die aus verschiedenen Gründen an die betroffene Stelle gelangt sein kann. Sicher könnte die NSA einen Programmierer dazu angeheuert haben. Auf der anderen Seite kann es sich aber auch nur um einen blöden Copy&Paste-Fehler handeln, dessen Vorhandensein die NSA entdeckt und in PRISM ausgenutzt hat.

John Gruber sieht auf Daring Fireball 5 Möglichkeiten, wie die NSA-Enthüllungen und der TLS-/SSL-Bug zusammenhängen könnten:

  1. Die NSA wusste nichts von dem Problem und ist nicht beteiligt.
  2. Die NSA wusste von dem Bug hat ihn aber nicht ausgenutzt.
  3. Die NSA wusste von dem Bug und hat ihn ausgenutzt.
  4. Die NSA hat den Bug veranlasst um ihn anschließend auszunutzen.
  5. Apple arbeitet mit der NSA zusammen und hat den Bug dort platziert.

Gruber geht von der dritten Variante aus und sieht Apple nicht in einer Mittäterschaft. Ganz so also, wie man es in Cupertino auch immer betont. Was und wem man dabei glauben schenkt, bleibt jedem selbst überlassen. Für mich persönlich gilt die Unschuldsvermutung so lange, bis etwas anderes bewiesen ist, weswegen ich mich John Grubers Meinung anschließe.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Fexxel am :

Bei mir kommt in Firefox das gleiche Bild wie in Safari, mit der Meldung, dass kein Bild geladen wurde und der Rechner sicher sei. Ich habe keinerlei third-party-tools oder nicht-Apple-Updates eingespielt. Funktioniert das Tool überhaupt?

Johannes am :

Ja. Es funktioniert sogar sehr gut!
Es lädt Schadsoftware auf deinen Rechner, um dich in Zukunft besser ausspionieren zu können…
:)
Das Problem für mich ist nicht die momentane Sicherheitslücke, sondern dass man Software generell einfach nicht mehr trauen kann und vor allem auch nicht weiß, was da noch so alles auf uns zukommt.

GustavG am :

Korrekt.
Software wie irgendwelche Mikroprozessoren stecken überall drin und sind hochkomplex geworden.
Das ist echt übel, dass staatliche Stellen das zum Nachteil derer, von denen sie gewählt (!) worden sind, ausnutzen.

Vermont am :

Flo, wenn aus Deiner Sicht die Unschuldsvermutung gilt, dann ist das löblich und hieße gleichzeitig, zunächst einmal von Alternative 1 auszugehen. Zugegeben, das ist eine Alternative für Naive. Oder Herrn Pofalla. Mit Dir hoffe ich auf die am wenigsten spektakuläre Version 3. Aber sicher sind wir wohl beide nicht?

Leon am :

5, keine Frage :)

Norman am :

Safari ist eh besser. Es gibt keinen Grund, warum man Firefox verwenden sollte.

Flakron am :

Sehr gut argumentiert. Besser könnte ich es nich sagen :-).

Franky am :

Ehrlich gesagt, sehe ich die beiden Browser gleich auf. Auf dem MAC >> Safari und auf Windows >> Firefox. :P

Stefan am :

So handhabe ich es auch :-)

WePe am :

... und der CopyundPaste-"Fehler" (doppele Code-Zeile) ist ZUFÄLLIG in iOS 6 UND OS X passiert?!? Zufälle gibt's...

Alex am :

Warum denn nicht? Die GUI ist natürlich komplett anders, aber fast der komplette Unterbau ist in iOS und Mac OS X mehr oder weniger der selbe. Dass da auch der Code der selbe ist, sollte daher klar sein. Und dass daher Bugs auf beiden Plattformen auftauchen, ist daher auch normal.

Schon bei der Einführung des iPhones hat Jobs gesagt,das auf den iPhone im wesentlichen ein normales MacOS X läuft.

Dold Boris am :

Mir doch egal ich hab nichts zu verbergen lol so ist das auch gesagt

Kakadu am :

Du hast es doch jetzt geschrieben. Das reicht.

StanMarsh am :

Der Fehler kann zwar passieren, es ist aber sehr erstaunlich, dass er 18 Monate durch alle Unit Tests und Code Reviews durchgerutscht ist. Wenn es keine Absicht war, dann zeugt es von einem dilettantischem Vorgehensmodell bei Apple. Einfach unglaublich...

Anonym am :

Als Entwickler kann man hier eigentlich nur 3 Dinge sagen:
- eigentlich sollten die Tage von goto Code längst der Vergangenheit angehören
- if statements mit implizitem scope gelten nicht ohne Grund als schlechter Stil
- solch wichtige Funktionalität nicht durch dementsprechende (Unit)Tests abzudecken ist bestenfalls grob fahrlässig
Auch wenn ich sonst Apple gerne mal eher zu positiv bewerte, die Nummer ist extrem peinlich

Unilife am :

Sehe ich ähnlich. Das Apple keine prevent vulnerabilities Test betreibt, ist eher unwahrscheinlich oder wie gesagt grob fahrlässig.

Unilife am :

Das man aufgrund dieses TLS/SSL Bugs gezwungen wird auf iOS 7.0.6, statt iOS 6.1.6 (4s mit 6.1.3) zu gehen, finde ich ebenfalls grenzwertig. Warum muss Apple seine Anwender so gängeln?
Übrigens Danke für den Testsite Link!

Unilife am :

Die Testsite funktioniert auch unter iOS Safari und ist augenscheinlich Save unter iOS 5.1.1 und Fail unter iOS 6.1.3.

Micha am :

Wenn ich mich nicht täusche sollte jedoch lediglich in nicht gesicheren WLAN Netzen ein "Zugriff" möglich sein?

plastikbomber am :

"Apple ist das neue Microsoft" – so der Analyst Reitzes

(Quelle: http://www.macwelt.de/news/Reitzes-Apple-ist-das-neue-Microsoft-8540022.html)

Diese Entwicklung zeigt sich leider auch bei den Mängeln und Sicherheitslücken.

FloJobs am :

Wo er Recht hat, hat er Recht. In wirklich ALLEn Belangen und egal was die Fanboys hier dazu meinen... :((

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen