Apple schließt Sicherheitslücke im App Store

Apple, Iphone, iOS, Appstore Bildquelle: Apple
Nach mehreren Jahren hat Apple eine gravierende Lücke im App Store geschlossen, mit der es unter anderem möglich war, Passwörter der User auszulesen und beliebige Apps auf dem Gerät zu installieren.
Seit gestern wird die Verbindung zwischen einem iOS-Gerät und dem App Store mit einer verschlüsselten Verbindung (HTTPS) hergestellt. Bisher hatte Apple dies versäumt, und damit die Verbindung offen wie ein Scheunentor gehalten. Dadurch waren, wie 'CNet' berichtet, vom Nutzer unbemerkt, diverse Angriffsszenarien möglich.

Wurde die Verbindung über ein WLAN-Netzwerk hergestellt, konnte mit einem anderen Gerät, dass sich im selben Netzwerk befindet, auf diese Verbindung zugegriffen werden. Dadurch war es relativ leicht möglich, Code einzuschleusen und dem iOS-Gerät gefälschte Antworten des App Stores vorzugaukeln.

Der Google-Mitarbeiter Elie Bursztein hat die Lücke bereits vor einem halben Jahr entdeckt und an Apple gemeldet, aber bis zum gestrigen Tag hatte das Unternehmen nicht darauf reagiert. Nachdem die Lücke nun geschlossen wurde, führt Bursztein diverse Möglichkeiten in seinem Blog vor.

Ihm war es nicht nur möglich, einen Passwort-Prompt zu öffnen und dessen Eingabe abzufangen, sondern auch durch austauschen der App-ID eine andere, als die vom User ausgewählte, App zu installieren. Dabei war es ohne weiteres auch möglich, eine Kauf-App ohne Nachfrage zu installieren und das Konto des Nutzers zu belasten.

Erleichtert wurde die Manipulation der Verbindung auch durch die Kommunikation des App Stores mit dem iOS-Gerät: Apple setzt dabei auf einfache Templates, die mit den Angaben aus XML (Extensible Markup Language)-Dateien des Servers gefüllt werden. Diese Einträge mit anderen Daten zu ersetzen ist mit einfachsten Mitteln möglich.

Auch auf Nachfrage von CNet wollte sich ein Apple-Sprecher zu dem Thema nicht äußern und gab auch keine Details dazu bekannt, ob die Lücke bereits vorher bekannt gewesen ist. Warum Apple so lange gebraucht hat, um die Sicherheitslücke zu schließen, wurde ebenfalls nicht mitgeteilt. Apple, Iphone, iOS, Appstore Apple, Iphone, iOS, Appstore Apple
Mehr zum Thema: Apple
Diese Nachricht empfehlen
Kommentieren14
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 07:40 Uhr AUKEY Wlan USB Stick 2 in 1 mit Bluetooth 4.0 Empfänge 150Mbps für Windows 7 / 8 / 8.1 / 10, Ihre PC, Laptop und andere Geräte, die ohne Wireless oder Bluetooth 4.0 Funktion
AUKEY Wlan USB Stick 2 in 1 mit Bluetooth 4.0 Empfänge 150Mbps für Windows 7 / 8 / 8.1 / 10, Ihre PC, Laptop und andere Geräte, die ohne Wireless oder Bluetooth 4.0 Funktion
Original Amazon-Preis
15,99
Im Preisvergleich ab
?
Blitzangebot-Preis
11,99
Ersparnis zu Amazon 25% oder 4
Nur bei Amazon erhältlich

Apples Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

iPad im Preisvergleich

Tipp einsenden