Aufgrund der als Poodle (PDF) bezeichneten Fehlfunktion in SSL 3.0 wird Apple das 15 Jahre alte Verschlüsselungsprotokoll nicht länger unterstützen. Wie es auf seiner Entwickler-Website ankündigt, wird es stattdessen am 29. Oktober auf Transport Layer Security (TLS) umsteigen, um seinen Push-Benachrichtigungsdienst abzusichern.
„Provider, die nur SSL 3.0 nutzen, müssen schnellstmöglich TLS unterstützen, um sicherzustellen, dass Apple Push Notification Service weiterhin wie erwartet funktioniert“, heißt es in einer Mitteilung. „Anbieter, die sowohl TLS als auch SSL 3.0 unterstützen, sind nicht betroffen und müssen keine Änderungen vornehmen.“
Um die Kompatibilität zu prüfen, hat Apple SSL 3.0 bereits im Provider Communication Interface der Entwicklungsumgebung deaktiviert. Programmierer können in dieser Umgebung ab sofort testen, um zu gewährleisten, dass Push-Benachrichtigungen an Anwendungen versendet werden.
Poodle steht für Padding Oracle on Downgraded Legacy Encryption. Die vor rund einer Woche von Google-Entwicklern entdeckte Schwachstelle in SSL 3.0 erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Die Sicherheitslücke betrifft sowohl Webserver als auch Browser. Beide müssen neu konfiguriert werden, damit nicht länger das anfällige SSL 3.0 verwendet wird. Aktuell unterstützen fast sämtliche Server noch das alte SSL-3.0-Protokoll aus Kompatibilitätsgründen. Das könnten Angreifer ausnutzen und beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion verwendet.
Nutzer können sich vor der Schwachstelle schützen, indem sie SSL 3.0 im Browser deaktivieren. Google und Mozilla haben bereit angekündigt, dass die nächsten Versionen ihrer Browser das veraltete Protokoll nicht mehr unterstützen werden. Als Workaround für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Security-Add-on Disable SSL 3.0 zu installieren oder über die Eingabe in der Adressleiste „about:config“ den Wert für den Eintrag „security.tls.version.min“ auf „1“ zu setzen. Microsofts Browser Internet Explorer erlaubt ebenfalls die Deaktivierung von SSL 3.0. Hierzu schaltet man die Option „SSL 3.0 verwenden“ unter Internetoptionen – Erweitert einfach aus.
[mit Material von Steven Musil, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…