- Registriert
- 06.04.08
- Beiträge
- 45.136
Vor über einem halben Jahr wurde Apple vom Sicherheits-Experten Elie Bursztein über eine Sicherheitslücke im App Store in Kenntnis gesetzt. Potenzielle Angreifer konnten sich, wenn sie im selben WiFI-Netzwerk eingebucht waren, die ungesicherte HTTP-Verbindung zwischen iOS-Gerät und App Store zu nutze machen. Dadurch wäre es den Hackern theoretisch möglich, Passwörter zu stehlen, ungewollt kostenpflichtige Apps zu kaufen oder anderen Schabernack zu treiben. Apple hat die Sicherheitslücke nach mehreren Monaten nun Ende Januar geschlossen.[PRBREAK][/PRBREAK]
CNET hat bei Apple nachgefragt, weshalb eine solche Schwachstelle nicht schon eher geschlossen wurde. Einen Kommentar gab es dazu bisher nicht. In einem Support-Dokument bedankt sich Apple bei Bursztein, Bernhard Brems (Recurity Lab) und Rahul Iyer (Bejoi LLC) für das Melden der Sicherheitslücke und schreibt, dass man Inhalte standardmäßig nun über verschlüsselte HTTPS-Verbindungen zur Verfügung stelle. Der Eintrag ist mit 23. Januar datiert.
Bursztein, der übrigens bei Google tätig ist, die Sicherheitslücke jedoch zu Hause in seiner Freizeit ausfindig gemacht habe, schreibt in einem aktuellen Blog-Eintrag, in dem die Sicherheitslücke auch dokumentiert ist, wie wichtig verschlüsselte Verbindungen seien. Durch das konkrete Beispiel am App Store erhofft er sich, dass sich unter den Entwicklern ein Bewusstsein für die Wichtigkeit verschlüsselter HTTPS-Verbindungen, besonders bei mobilen Apps, bildet.
Ein Beispiel-Video zeigt, wie durch Ausnutzen der Sicherheitslücke statt der im App Store ausgewählten App eine komplett andere Anwendung am iPad landet:
[video=youtube;qTkxmfkw7iQ]http://www.youtube.com/watch?feature=player_embedded&v=qTkxmfkw7iQ[/video]
CNET hat bei Apple nachgefragt, weshalb eine solche Schwachstelle nicht schon eher geschlossen wurde. Einen Kommentar gab es dazu bisher nicht. In einem Support-Dokument bedankt sich Apple bei Bursztein, Bernhard Brems (Recurity Lab) und Rahul Iyer (Bejoi LLC) für das Melden der Sicherheitslücke und schreibt, dass man Inhalte standardmäßig nun über verschlüsselte HTTPS-Verbindungen zur Verfügung stelle. Der Eintrag ist mit 23. Januar datiert.
Bursztein, der übrigens bei Google tätig ist, die Sicherheitslücke jedoch zu Hause in seiner Freizeit ausfindig gemacht habe, schreibt in einem aktuellen Blog-Eintrag, in dem die Sicherheitslücke auch dokumentiert ist, wie wichtig verschlüsselte Verbindungen seien. Durch das konkrete Beispiel am App Store erhofft er sich, dass sich unter den Entwicklern ein Bewusstsein für die Wichtigkeit verschlüsselter HTTPS-Verbindungen, besonders bei mobilen Apps, bildet.
Ein Beispiel-Video zeigt, wie durch Ausnutzen der Sicherheitslücke statt der im App Store ausgewählten App eine komplett andere Anwendung am iPad landet:
[video=youtube;qTkxmfkw7iQ]http://www.youtube.com/watch?feature=player_embedded&v=qTkxmfkw7iQ[/video]
Zuletzt bearbeitet von einem Moderator: