• Home
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Board
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Nachrichten
  • Topnews
  • Interviews
  • Glossen
  • Reportagen
  • Kurioses
  • RSS-Feed
  • Twitter
  • Newsletter
• NewsPresso
  • Newsübersicht
  • Regeln
  • Highscore
  • RSS-Feed
• Internet
  • Denkanstösse
  • Wissenswertes
  • Filesharing
  • Zeitreise
• IT-Sicherheit
  • Rechtliches
  • Anonymität
  • Cybercrime / Cyberwar
  • Verschlüsselung
  • Netzsperren
  • Emailadressen verschlüsseln
  • IT-Forensik
  • Linux-Server
  • Passwörter
  • Spam
  • WLAN
• Hard- und Software
  • Zeitreise - PC und N-books
  • Tools
• Games
  • Zeitreise - Games
• Mobile
  • Zeitreise - Mobile Endgeräte
• Ansichtssache
  • Kommentiere und bewerte die Fundstücke.

iPhone-SSL-Schwachstelle entdeckt - aber schon behoben

Apples iPhone ist anfällig für sogenanntes Spoofing, also das Unterschieben gefälschter Websites. Dies gilt selbst, wenn die Seiten mit Hilfe von SSL abgesichert sind, wie der freiberufliche Sicherheitsforscher Charlie Miller nun herausfand.

Die Schwachstelle: ein Feature, das es ermöglicht, eine große Anzahl von iPhones auf einmal zu konfigurieren. Diese Möglichkeit wird beispielsweise von Firmen benutzt, die die Geräte ihren IT-Richtlinien anpassen wollen. Allerdings ist dieses Feature nicht nur über das Internet aufrufbar, sondern kann auch dazu gebracht werden, bösartige Konfigurationsdateien zu akzeptieren. Dadurch können die als vertrauenswürdig eingestuften SSL-Zertifikate geändert werden - das iPhone akzeptiert künftig auch gefälschte Zertifikate als echt. Der Angriff funktioniert auch auf dem iPod touch, dessen Software mit der des iPhone weitestgehend identisch ist.

Im Internet wird behauptet, dass dieser Angriff es auch ermöglichen könnte, die Proxy-Einstellungen des iPhones zu verändern. Dies könnte ein Angreifer beispielsweise dazu nutzen, den gesamten Datenverkehr über seinen eigenen Server umzuleiten und dort mitzulesen. Miller erklärte, er sei nicht sicher, ob dies tatsächlich möglich sei. Ausschließen wollte er diese Möglichkeit aber nicht. Auf jeden Fall bedeute der Angriff, dass iPhone-Nutzer "SSL nicht mehr trauen können", betonte Miller. 

Neben der Manipulation vertrauenswürdiger SSL-Zertifikate könnte der Angreifer mit Hilfe bösartiger Konfiguationsdateien auch bestimmte Apps blockieren oder den Zugriff auf bestimmte Websites sperren. 

Die gute Nachricht: durch aufmerksames Verhalten kann man sich leicht vor dem Angriff schützen. Das Opfer muss zunächst die Datei aus einem E-Mail-Anhang oder von einer manipulierten Website herunterladen. Anschließend muss der Benutzer die vorgenommenen Änderungen sogar selbst akzeptieren - er wird gefragt, ob er das "Update" installieren möchte, und muss dazu "OK" drücken. Miller meinte dazu, dass Personen, die auf dieses Angriffsszenario hereinfielen, wahrscheinlich auch auf jede x-beliebige Phishing-Seite hereingefallen wären und man sich den Aufwand fast hätte sparen können. 

Da aber die letzten Jahre gezeigt haben, dass man sich auf die Vernunft der Benutzer nicht immer verlassen kann, reagierte iPhone-Hersteller Apple unverzüglich. Das neue iPhone OS 3.1.3, das seit heute zum Download bereitsteht, behebt neben vier anderen Schwachstellen auch diese Sicherheitslücke. 

(via The Register, thx!)

Annika Kremer am Mittwoch, 03.02.2010 15:32 Uhr

Tags: iphone