Wie Ars Technica berichtet beinhalten rund 1.500 iOS-Apps eine HTTPS-Schwachstelle, die Angreifern eine Man-in-the-Middle-Attacke ermöglicht, mit der Passwörter, Bankinformationen und andere sensible Daten abgefangen werden können. Zu den betroffenen Apps gehören diverse Banking-Apps, die Alibaba.com-App oder auch das verbreitete „Movies by Flixster“.
Die Schwachstelle ist zurückzuführen auf einen Fehler in der Open-Source-Bibliothek AFNetworking, mit der App-Entwickler Netzwerkaufgaben implementieren. Diese Bibliothek weist einen Fehler bei der Zertifikatsprüfung auf, die es Angreifern ermöglicht, einem Gerät über ein beliebiges öffentliches WLAN ein falsches SSL-Zertifikat unterzujubeln und anschließend den Datenverkehr mitzulesen.
Normalerweise können gefälschte Zertifikate schnell als solche entlarvt und die Verbindung daraufhin unterbrochen werden, doch aufgrund eines Fehlers im Code von AFNetworking der Version 2.5.1 wird diese Zertifikatsprüfung gar nicht erst ausgeführt.
Bereits Ende März hatten die zwei Researcher Simone Bovi und Mauro Gentile in einem Blog Post über diese Schwachstelle in Version 2.5.1 berichtet. Zwar hat AFNetworking das Problem bereits vor drei Wochen in einem Update auf Version 2.5.2 behoben, doch wie eine am Montag veröffentlichte Analyse von SourceDNA zeigt, haben viele App-Hersteller dieses Update noch nicht übernommen.
Im Zuge der Untersuchung hat SourceDNA sämtliche kostenlosen sowie die Top-5.000 der kostenpflichtigen Apps aus Apples App Store getestet – insgesamt ca. 1,4 Millionen iOS-Apps. Zwar scheinen 1.500 betroffene Apps angesichts der überprüften Menge keine große Zahl zu sein, doch offenbar haben bereits rund zwei Millionen Nutzer die anfälligen Apps installiert und sind dementsprechend gefährdet, Opfer eines Man-in-the-Middle-Angriffs zu werden.
Dass nicht mehr Apps betroffen sind, liegt zum Teil daran, dass viele der Apps noch ältere Versionen von AFNetworking nutzen, während die Sicherheitslücke ausschließlich Version 2.5.1 betrifft. SourceDNA hat eine Suche bereitgestellt, mit der Nutzer überprüfen können, ob einzelne iOS-Apps auf ihrem Gerät von der Schwachstelle betroffen sind. Hier sieht man auch, welche Hersteller bereits reagiert und ein Update auf Version 2.5.2 vorgenommen haben.
Bloomua / Shutterstock.com