In Apples Betriebssystem iOS 7 steckt eine große Sicherheitslücke. Angreifer in öffentlich zugänglichen Funknetzwerken oder Dritte in Kabelnetzwerken sind in der Lage, gesicherte Datenverbindungen auf geschützten Webseiten oder in Apps mitlesen. Dazu heißt es in der Mitteilung des Unternehmens: “An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS.” Secure Sockets Layer und Transport Layer Security werden beispielsweise beim Onlinebanking und bei eCommerce-Seiten für den Bezahlvorgang genutzt, so dass Dritte die Kreditkartendaten nicht mitlesen können. Auch etliche Apps, die persönliche Daten bzw. Kennwörter übertragen, nutzen diese Übertragungsprotokolle. Im Browser Safari wird eine so gesicherte Verbindung mit einem Vorhängeschloss in einer grün gefärbten Adresszeile angezeigt.
Go to Fail
Apples Software prüft beim Seitenaufruf die genannten Protokolle, doch diese Prüfung läuft ins Leere, so dass die Daten ungeschützt und für Dritte sichtbar übertragen werden. Adam Langley, ein Verschlüsselungsexperte bei Google, hat sich das Update sowie die bisherige iOS 7-Version genau angesehen. In seinem Blog beschreibt er die Sicherheitslücke. Wie im Ausschnitt des Source Codes zu sehen ist, gibt es zwei goto Fail-Befehle. Der erste ist korrekt, der zweite läuft ins Leere, was zum Abbruch der Sicherheitsprüfung führt:
{ OSStatus err;
...
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
... fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err; }
Tippfehler oder Absicht?
Ein kleiner Tippfehler mit fatalen Folgen. Bei der Vielzahl an Entwicklern und internen Sicherheitsprüfungen bei Apple fällt es schwer zu glauben, dieser Fehler ist über mehrere Versionen von iOS und OS X unentdeckt geblieben. Im Lichte der Enthüllung von Edward Snowden und dem Wissen, dass auch Apple in den Papieren der NSA als Informationsquelle genannt wird, liegt ein unschöner Verdacht auf der Hand: Das Abschalten der sicheren Datenübertragung war eventuell Absicht. Belege gibt es für diese These jedoch keine.
Update schließt Sicherheitslücke
Nach der Veröffentlichung reagierte Apple mit einem Update auf die Version iOS 7.0.6. Die sollte jeder mit iPhone, iPad (Mini) und iPod touch schleunigst installieren (Einstellungen / Allgemein / Softwareaktualisierung). Auch für die Version iOS 6 gibt es eine neue Version. Die Sicherheitslücke betrifft auch das Desktopsystem OS X. Wann es dafür ein Update geben wird, ist noch unbekannt.
Ob Eurer Gerät von der Sicherheitslücke betroffen ist, könnte Ihr über diese Webadresse testen. Einfach einen anderen Browser als Safari zu verwenden, ist keine Lösung, da das Problem tief im Betriebssystem steckt.
Nachtrag am 25.2.2014: Apple hat für OS X Mavericks ein Update auf Version 10.9.2 veröffentlicht.