• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick

Feature GoToFail: Doppelte Codezeile sorgt über Monate für klaffende Sicherheitslücke in iOS und OS X

Martin Wendel

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.153
Eine simple doppelte Codezeile sorgt derzeit für eine der größten Sicherheitslücken in der jüngeren Vergangenheit von iOS und OS X. Während für iOS (Version 6.1.6 und 7.0.6) und den Apple TV (Version 6.0.2) bereits Updates, deren Installation dringend anzuraten ist, veröffentlicht wurden, steht das Update für Mavericks noch aus. Laut Apple soll der Fehler aber auch dort „sehr bald“ der Vergangenheit angehören – möglicherweise erwartet uns das Update ja heute Abend. Hoffentlich. Nun wird die Vermutung laut, ob nicht auch die NSA hier ihre Finger im Spiel haben könnte.[prbreak][/prbreak]

[h2]goto fail; – ein folgenreicher Fail[/h2]

Verantwortlich für die Sicherheitslücke ist eine einzige Zeile Code im Betriebssystem von Apple-Geräten, die doppelt statt nur einmal vorhanden ist: „goto fail;“. Dadurch wird der eigentlich notwendige Authentifizierungs-Check für SSL-gesicherte Internetverbindungen (durch ein HTTPS in der Adresszeile des Browsers gekennzeichnet) umgangen. Angreifer, die sich im selben Netzwerk wie das betroffene Gerät befinden, können so am Datenverkehr – und damit an Passwörtern, Kreditkartendaten und anderen sensiblen Informationen – mitschnüffeln. Gerade in öffentlichen WiFi-Netzwerken gilt also zur Zeit höchste Vorsicht. Ein Ausweichen auf andere Browser ist zwar anzuraten, hilft aber nur bedingt. Betroffen sind neben Safari und den darin verwendeten Webdiensten (E-Banking, Facebook, Webmail, etc.) nämlich auch zahlreiche Apps in OS X – wie FaceTime, Kalender, Mail, Twitter und andere.

gotofail.png
Eine einzige Zeile Code ist für den Aufruhr verantwortlich. (via Ars Technica)

Das Erschreckende daran ist, wie lange diese Sicherheitslücke bereits besteht. Nutzer des ersten iPads und des iPod touch der vierten Generation können erstmal aufatmen. iOS 5.1.1, die aktuellste Software für diese Geräte, ist nicht betroffen, Update gibt es daher keines. Bestätigt wurde die Lücke bisher unter anderem für iOS 6.0, 6.1.5, 7.0.4 und 7.0.5 sowie für OS X 10.9.0 und 10.9.1. Mountain Lion ist nicht betroffen. Zumindest für iOS-Geräte bedeutet dies, dass SSL-Verbindungen bereits seit fast eineinhalb Jahren unsicher sind, beim Mac immerhin seit einigen Monaten.

Dies sollte mehr als deutlich aufzeigen, wie wichtig dieses Update ist. Nutzer, die iOS 7-fähige Geräte noch unter iOS 6 betreiben, sollten – trotz allem Widerstand gegen Apples neuestes Betriebssystem – iOS 7.0.6 installieren. Nur für Jailbreaker gibt es eine Ausnahme: Diese können den Bug in iOS mit einem Fix aus Cydia beseitigen. Der bekannte Jailbreak-Entwickler Ryan Petrich stellt in seiner Repository (http://rpetri.ch/repo) einen solchen zur Verfügung. Nutzer, die ihre Geräte unter iOS 7 gejailbreakt haben, können auf iOS 7.0.6 aktualisieren und erneut jailbreaken. Das Evad3rs-Team hat bereits am Wochenende eine aktualisierte Version von Evasi0n veröffentlicht.

Wer überprüfen möchte, ob sein System sicher ist, kann dies auf der Webseite gotofail.com machen.

[h2]Verschwörungstheorie: Steckt die NSA dahinter?[/h2]

Bereits kurz nach bekannt werden der Lücke wurden erste Vermutungen laut, ob nicht die NSA hinter der Sicherheitslücke stecken könnte. Der angesehene Apple-Blogger John Gruber zeigt auf, dass das von der Sicherheitslücke erstmals betroffene iOS 6.0 am 24. September 2012 veröffentlicht wurde und Apple, laut den von Edward Snowden veröffentlichten PowerPoint-Folien der NSA, im Oktober 2012 in das PRISM-Programm aufgenommen wurde. Ein Zufall?

Gruber sieht hier „fünf Stufen der Paranoia“:
  1. Es war nichts. Die NSA wusste von der Schwachstelle nichts.
  2. Die NSA wusste davon, hat sie aber nicht ausgenutzt.
  3. Die NSA wusste davon und hat sie ausgenutzt.
  4. Die NSA hat sie selbst heimlich eingefügt.
  5. Apple hat sie, in Zusammenarbeit mit der NSA, eingefügt.
John Gruber selbst würde bis zu Stufe 3 gehen und sieht das noch als optimistisch an. „(…) Wir wissen von den PRISM-Folien, dass die NSA behauptet, manche Dinge zu können, die diese Schwachstelle erlauben würde“. Falls es sich bei dem GoToFail-Bug nicht um die von der NSA für PRISM ausgenutzte Schwachstelle handle, würde dies laut Gruber bedeuten, dass es noch weitere nicht bekannte Schwachstellen gebe.
 
aniSation

aniSation

Rheinischer Krummstiel
Registriert
25.11.10
Beiträge
379
Tim Pritlove im Katastrophenentscheidungsnotstandsmodus... :p
 

Chriis

Dithmarscher Paradiesapfel
Registriert
25.01.10
Beiträge
1.467
Das ist ja schon fast eine Verschwörungstheorie ;)
 
NorbertDan

NorbertDan

Boskoop
Registriert
20.08.12
Beiträge
41
einmal zu oft "CMD+V" gedrückt. wer mit goto arbeitet ist selbst schuld, ein Switch wäre da wohl besser gewesen. und ne doppelte code zeile ?! was für Mist ist das ?
 
ImperatoR

ImperatoR

Roter Astrachan
Registriert
02.12.06
Beiträge
6.261
Hätten sie um die if-Blöcke geschweifte Klammern gesetzt, wäre das gar nicht passiert. Aber so wird Zeile 13 niemals ausgeführt, da zuvor zu fail gesprungen wird.

Zudem ist goto schlechter Stil der schon seit einigen Jahrzehnten ausgemerzt sein sollte. ;)
 
  • Like
Reaktionen: simmac
HeinerM

HeinerM

Galloway Pepping
Registriert
13.09.13
Beiträge
1.357
Da kommen Erinnerungen an meinen Lehrgang in der Programmiersprache BASIC hoch. Festplatte 20 MB....
 

TimoR.

Allington Pepping
Registriert
18.11.13
Beiträge
195
Also dass wegen dieser Lücke so ein "Geschiss" gemacht wird, zeigt eindeutig dass iOS und MacOS ansonsten sehr sicher sein müssen.

Bei android klaffen bekanntlich viele kritische offene Lücken und es ist ein leichtes ein solches System zu infizieren - Stichwort verseuchte und gefakte google playstore-Programme, zumal es da meist nichtmal Softwareupdates gibt, da müssten die Meiden eigentlich rund um die Uhr drüber berichten und vor android warnen.

Hauptsache Apple hat reagiert und Updates bereitgestellt. Ich hab unter meinem iOS 6.1.3 den SSL-Fix einfach aus Cydia installiert.
 
Martin Wendel

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.153
Das ist schon eine ziemlich heftige Sicherheitslücke und sollte nicht marginalisiert werden!
 
Michael Reimann

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.834
evtl gibt es morgen ja ein neues OSX. Apple hat gerade die Version 10.9.2 intern verteilt. Das ist bisher immer das Zeichen für eine baldige Veröffentlichung gewesen.
 
Martin Wendel

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.153
Ich glaube, dass das heute noch kommen wird.
 
verpeiler

verpeiler

Uelzener Rambour
Registriert
29.01.13
Beiträge
370
Matrazäh schrieb:
Hier sind ja richtige Experten dabei
Zum Vergrößern anklicken....

Man muß kein Programmier-Experte sein, um zu erkennen, daß da jemand riesen Mist gebaut hat.... Das ist eher ein Anfängerfehler, und sollte in einer Software von Apple niemals vorkommen. Aber hey, errare humanum est, bei so vielen Codezeilen hat da wohl einfach mal jemand zu viel copy+paste benutzt ;)
 
Farafan

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
Es gilt immer das alte Sprichwort "Hinterher sind alle schlauer".

Wie gut das hier ausschließlich Programmierer ihren Senf dazu geben die wissen wie es ist mit zehntausenden Zeilen Code umzugehen. Es ist passiert und es hätte nicht passieren dürfen, ganz klar. Nur nun ein riesengroßen Fass aufzumachen mach dem Motto "Anfängerfehler", "wie blöd sind DIE denn? und ähnliches können nur von Menschen kommen die noch nie programmiert haben.

Nun fehlt eigentlich nur noch der Kommentar "Zu Zeiten von Steve Jobs wäre das nie passiert".
 
Martin Wendel

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.153
Fakt 1: Der Fehler ist dilettantisch (ohne Wertung warum, wann oder wie es dazu gekommen ist).
Fakt 2: Apple veröffentlicht Informationen über eine schwerwiegende Sicherheitslücke, die sich leicht schließen ließe, ohne aber einen Fix für alle Geräte anzubieten. Darüber darf man sich zumindest sehr stark wundern.
 
  • Like
Reaktionen: Bierhefe
Farafan

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
Also mir ist ein sauberes Update wesentlich lieber als eine mit der heißen Nadel gestrickte Lösung die eventuell ganz neue Probleme verursacht. Das Geschrei will ich mir nicht vorstellen wenn nach einem Hotfix plötzlich andere Probleme auftreten.

Es ist nun einmal nicht damit getan eine Zeile Code zu löschen. Zudem gibt es interne QS- und Qualifizierungsprozesse die nun einmal nicht innerhalb von wenigen Stunden zu erledigen sind.
Wenn ich mir die Bedrohungslage aus verschiedenen Quellen zusammen lese ist die Gefahr doch eher theoretischer Natur. Es wird schon seit Ewigkeiten davon abgeraten in öffentlichen Netzen sensible Anwendungen auszuführen.
 
  • Like
Reaktionen: echo.park und raven
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten