Skip to content

Weitere Sicherheitslücken in iOS und OS X entdeckt

Geschrieben von Florian Schimanke am

Es ist ja meistens so, dass sich Meldungen zu einem bestimmten Thema ballen, wenn es erst einmal losgetreten wurde. Das betrifft Gerüchte ebenso, wie Meldungen zu Sicherheitslücken. Und mit letzterem hat Apple derzeit wirklich stark zu kämpfen. Ausgelöst durch das Update auf iOS 7.0.6 welches einen TLS/SSL-Bug auf die Tagesordnung hievte, der sich nach wie vor auch in OS X Mavericks befindet, kommen derzeit immer weitere Details ans Licht. Aktuell haben die Sicherheitsforscher von FireEye eine neue Sicherheitslücke in iOS entdeckt, die es über eine manipulierte App ermöglicht, Nutzereingaben sowohl auf dem Display, als auch über die Hardware-Knöpfe des Geräts mitzuschneiden und an einen Remote-Server zu senden, während sie sich im Hintergrund befindet. Dabei wird eine Lücke im Multitasking von iOS ausgenutzt. Die Forscher haben hierzu eine Konzept-App, sowie Möglichkeiten entwickelt, diese an Apples Zulassungsprozess vorbei zu schmuggeln und im AppStore zu platzieren. Auch eine Deaktivierung der Hintergrundaktualisierung in iOS 7 verhindert nicht die Arbeit der App. Hierzu müsste sie manuell aus dem App-Switcher entfernt werden. FireEye hat Apple bereits vor der Veröffentlichung des Problems informiert und arbeitet mit Cupertino an einer Behebung. Es ist daher davon auszugehen, dass Apple das Problem in Kürze per iOS-Update beheben wird.


Und auch beim weiter oben angesprochenen TLS/SSL-Bug gibt es wenig erfreuliche Neuigkeiten. Während Mac-Nutzer weiter auf ein Update zur Behebung des Problems warten, ist es dem Sicherheitsexperten Aldo Cortesi gelungen, den gesamten SSL-Datentransfer inklusive Nutzernamen, Passwörtern, Schlüsselbund und Daten aus Kalendern durch ein Ausnutzen der Lücke mitzuschneiden. Angeblich sei dies ohne größeren Aufwand möglich, weswegen er glaubt, dass er nicht der Erste sei, dem dies gelingt. Ein korrigierendes Update sollte dementsprechend höchste Priorität in Cupertino haben.

Bis es soweit ist, sollten Mac-Nutzer vor allem in ungesicherten öffentlichen WLANs wie z.B. Hotspots in Cafés SSL-geschützte Verbindungen nicht mit dem Safari-Browser nutzen. Stattdessen sollten andere Browser mit einer eigenen Engine wie beispielsweise Chrome oder Firefox nutzen. Da auch andere Apps wie Mail, iMessage und Facetime von dem Problem betroffen sind, sollten diese in dem angesprochenen Szenario gar nicht verwendet werden. Alternativ bietet sich die Nutzung eines VPN-Tunnels an, durch den der gesamte Netzwerkverkehr geleitet wird. Im heimischen WPA-geschützten WLAN ist man indes sicher, solange sich hierin keine anderen Nutzer befinden, denen man nicht vertraut. Dies sollte allerdings ohnehin nie der Fall sein. 

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

matze am :

Es gibt überall Sicherheitsprobleme!

sAsChA am :

Korrekt. Für eine Man-in-The-middle-Attacke braucht man nicht im selben Netz sein. Nur schneller als die aufgerufene Seite.

Cromax am :

Da ich von unterwegs eh immer erst dank meiner Synology per VPN nach Hause Tunnel, kümmert mich das SSL Problem jetzt nicht wirklich. Auch die Reaktionszeit von Apple kann man noch nicht wirklich anprangern, da man von anderen Anbietern auch schon längere Wartezeiten gewohnt ist. Was mich allerdings seitens Apple stört ist mal wieder die Informationspolitik. Da kommt so gut wie nix von denen, wie denn der Stand ist, wann man was erwarten kann oder wie man sich nun verhalten soll. Und von den Medien wird man im Moment auch übermäßig und meiner Meinung nach unsachgemäß damit bombardiert. Was ist denn mit der kritischen Android Lücke, die entdeckt wurde und die auf den meisten Geräten wahrscheinlich nie gefixt wird, weil es da einfach keine Updates mehr gibt? Warum wird darüber so gut wie gar nicht berichtet, über den Bug in Mac OS X und iOS aber mehrfach täglich. Bezüglich Androide meine ich übrigens dies hier: http://arstechnica.com/security/2014/02/e-z-2-use-attack-code-exploit
s-critical-bug-in-majority-of-android-phones/
Apple wird einfach in jeder Hinsicht zu viel in Sensation gesetzt. Sei es nun bei positiven oder negativen Dingen.

Frank SoS am :

..dass ein solcher Apple-Bug mehr Reaktion hervorruft als es zB der Flash Player täte, spricht eher FÜR Apples Qualität ..dennoch dubios das Ganze

Franz am :

@cromax du hast recht
Im übrigen, Alle anderen Sicherheitsfuzzies haben den SSL Bug doch auch nicht gefunden. jetzt beschweren sich aber alle bei Apple warum wieso etc.
Grüße !

Name is egal am :

Der goto-fail-Bug soll Apple seit 08.01.2014 offiziell bekannt sein. Das Vertrauen in Apple ist bei mir massivst erschüttert.

Flo am :

Wie du schon schreibst... SOLL bekannt sein. Ich hoffe nicht, dass nun schon Gerüchte ausreichen, um ein Vertrauen zu erschüttern.

Apple wird das Update nicht länger zurückhalten als unbedingt notwendig. Warum auch?!

Name is egal am :

Apple wird den Fehler wohl mit 10.9.2 kitten und kein separates Sicherheits-Update vorweg schicken - so interpretiere ich jedenfalls den CVE-Eintrag vom 24.02.

Foat am :

Für mein Windows 7 auf bootcamp kommen fast täglich sicherheits Updates! So schlimm finde ich diese paar Lücken jetzt nicht bei iOS/OSX
!

Cdm am :

Aber Microsoft hat nie behauptet, es gäbe keine Schadsoftware auf irgendeinem System.

Apple tut das aber für sich immer noch und lässt weiterhin keine Security Tools zu - das ist Verdummung der Verbraucher und unseriös!

Ben am :

10.9.2 ist raus, Bug behoben.

Frank am :

Wer im öffentlichen ungesicherten WLAN rumsurft ist selber Schuld .... ????

Unilife am :

SSL Patch aus Cydia. Dann klappt es auch noch unter iOS 6.1.2/3/4/5 auf z. B. 4s Modellen. JB Rocks!

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen