Tausende iOS-Apps wegen SSL-Bug anfällig für Man-in-the-middle-Angriffe

Sicherheitsforscher haben Tausende iOS-Apps entdeckt, die eine veraltete Version einer verbreiteten Netzwerkbibliothek nutzen und dadurch Angreifern im selben Netzwerk das Mitlesen eigentlich verschlüsselter Daten erlauben. Der Fehler steckt im Secure-Sockets-Layer-Code (SSL) der Bibliothek AFNetworking, auf die Anwendungsentwickler häufig für Netzwerkfunktionen ihrer iOS-Programme zurückgreifen. In den letzten sechs Wochen wurde das Framework dreimal aktualisiert, um verschiedene SSL-Lücken zu schließen, die darauf aufsetzende Apps für Man-in-the-middle-Angriffe anfällig machen.

Die jüngste Version 2.5.3 von AFNetworking beseitigt eine Schwachstelle im Domainnamen-Validierungsprozess der Bibliothek. Nach Schätzungen der Analytics-Firma SourceDNA, die den wiederkehrenden Fehler gefunden hatte, sind weiterhin mindestens 25.000 iOS-Apps anfällig, weil sie eine veraltete Ausgabe der Library nutzen.

„Wenn Sie AFNetworking verwenden (jegliche Version), müssen Sie auf 2.5.3 aktualisieren“, teilte SourceDNA mit. „Außerdem sollten Sie Public Key oder zertifikatsbasiertes Pinning als zusätzliche Schutzmaßnahme aktivieren. Keiner dieser Game-over-SSL-Bugs betraf Anwendungen, die Pinning nutzten.“

Zu der eigentlichen Schwachstelle führt SourceDNA weiter aus: „Die Domainnamen-Validierung kann durch den Flag validatesDomainName aktiviert werden, ist aber standardmäßig ausgeschaltet. Es wurde nur aktiviert, wenn Zertifikat-Pinning eingeschaltet wurde, wovon aber zu wenige Entwickler Gebrauch machen.“

Für den Endnutzer hat dies zur Konsequenz, dass ein Angreifer etwa im selben WLAN-Netz relativ einfach Daten beim Versenden abfangen kann, die eigentlich verschlüsselt sein sollten. „Weil der Domainname nicht geprüft wurde, war alles, was sie dafür brauchten, ein gültiges SSL-Zertifikat für irgendeinen Web-Server, das man für 50 Dollar kaufen kann“, so SourceDNA.

Seltsamerweise scheint sich der Bug in Version 2.5.2 von AFNetworking wieder eingeschlichen zu haben, nachdem er mit einer Vorversion beseitigt wurde. Version 2.5.2 korrigierte ihrerseits eine kritische HTTPS-Lücke, die rund 1500 iOS-Apps betraf. Laut AFNetworkings Update auf GitHub von letzter Woche sieht die Standard-Sicherheitsrichtlinie der Bibliothek nun die Validierung des Domainnamens vor und nicht bei Public Key oder Zertifikat-Pinning.

Der Fehler in AFNetworking 2.5.2 war von einem Sicherheitsexperten bei Yelp entdeckt worden, eine der Firmen, die die Open-Source-Bibliothek nutzen. Sicherheitsforscher, die vorherige SSL-Bugs in der Library untersuchten, wiesen darauf hin, dass andere beliebte Apps wie Pinterest, Heroku und Simple sie ebenfalls für iOS- und OS-X-Apps einsetzten.

iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind. Dazu müssen sie lediglich den Namen des Entwicklers eingeben.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.