Ausgerechnet in einer Programmbibliothek namens „Secure Transport Library“, die in den Apple-Betriebssystemen iOS und Mac OS X für viele Verschlüsselungen zuständig ist, klafft eine riesige Sicherheitslücke. Laut Adam Langlee, einem Sicherheitsexperten von Google, handelt es sich um einen Fehler, der „tief im Quellcode“ steckt und den er als „Albtraum“ bezeichnet. Die Bibliothek übernimmt in Apples eigenem Browser Safari, aber auch in vielen anderen Anwendungen von Drittherstellern die Verschlüsselung über Secure Sockets Layer (SSL) und TLS (Transport Layer Security).
Durch einen Fehler finden wichtige Prüfungen zur Sicherheit aber nicht statt, so dass Angreifer während der Übertragung die Daten zwischen Sender und Empfänger abfangen und auch manipulieren können. Apple hat inzwischen zwar ein Update für iOS 7.0.6 für iPhone 4, iPod Touch 5 und iPad 2 und alle neueren Geräte veröffentlicht, der umgehend installiert werden sollte, doch das Problem tritt auch in Mac OS X auf. Für dieses Betriebssystem gibt es bislang keinen Patch.
Ob das eigene Gerät sicher ist, kann auf der Webseite gotofail.com überprüft werden. Im Web wird auch diskutiert, ob diese Verschlüsslungs-Sicherheitslücke ein Einfallstor für den US-Geheimdienst NSA ist, der sich in vom Whistleblower Edward Snowden stammenden Dokumenten damit brüstete, auf alle iPhones Zugriff zu haben.
Update: Laut einem Bericht von Appleinsider haben Mitarbeiter von Apple bereits eine Vorabversion von OS X Mavericks 10.9.2 erhalten. Darin werden mehrere Fehler behoben und auch die schwerwiegende Sicherheitslücke bei verschlüsselten Verbindungen wird laut dem Bericht geschlossen. Allerdings ist bislang aufgrund des rein internen Tests dieses Updates nicht klar, wann Apple-Nutzer diese gefährliche Lücke auf ihrem System schließen können. Sicherheitsexperten raten bis zu einem Update davon ab, den Safari-Browser zu nutzen oder Macs in öffentlichen Netzwerken zu verwenden, da auch beliebte Programme wie Twitter, iBooks oder Facetime die fehlerhafte Bibliothek einsetzen.
Update 25.02.2014: Inzwischen hat Apple das entsprechende Update veröffentlicht und damit die Sicherheitslücke geschlossen.
|
|
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.