iOS 7.0.6 und 6.1.6

SSL-Lücke: Warum man sein iPhone sofort updaten sollte

Das Update auf iOS 7.0.6 ist mehr als ein kleiner Sicherheitspatch. Apple hat es seit einem Jahr verschlafen, SSL-Verbindungen richtig zu überprüfen.

"Dieses Update behebt ein Problem beim Überprüfen der SSL-Verbindung", schreibt Apple lapidar zum kürzlich erschienenen Update auf iOS 7.0.6. Das klingt nach einem kleinen Sicherheitsupdate, wie wir sie beinahe wöchentlich von diverser Software zu sehen bekommen. Falsch! Die Lücke, die iOS und OS X rund ein Jahr mit sich herumgetragen haben, ist so banal wie fatal. Das Internet hat einen deutlicheren Namen dafür gefunden: "Goto fail". Ein simpler Doppler im Code Systems hat dafür gesorgt, dass scheinbar sichere SSL-Verbindungen mindestens ein Jahr lang völlig unsicher waren.

Das Symbol für eine gesicherte Verbindung ist ohne das neuste Update nichts wert.
Das Symbol für eine gesicherte Verbindung ist ohne das neuste Update nichts wert.

Das Problem: Die fehlerhafte Schnittstelle "Secure Transport" ist systemweiter Ansprechpartner dafür, die Zertifikate bei gesicherten Verbindungen zu prüfen. Etliche Systemfunktionen wie Safari, Mail und Co setzen ebenso darauf wie Apps von Drittanbietern. Secure Transport war bin zum Update jedoch wie ein Schloss, das sich nicht dafür interessierte, ob der Schlüssel tatsächlich passt. Ein Türsteher, der einfach jeden hineinwinkt, auch jemanden mit einem Messer zwischen den Zähnen. Sicherheitstechnisch ist dies eine Katastrophe.

Apple hat geschlafen

Onlinebanking, die Anmeldung beim E-Mail-Server oder bei Facebook: iOS konnte bis zum Update nicht überprüfen, ob die Anwendung tatsächlich mit dem echten Server spricht oder nicht. Dies macht es möglich, iOS-Geräte - vor allem in unverschlüsselten Netzen - leicht auszuspionieren. Man nennt dies "Man-in-the-middle"-Angiff. Ein Mittelsmann, der sich zwischen Nutzer und Zielserver einklinkt und mitliest. Eigentlich sollen SSL-Verbindungen solche Angriffe verhindern, dank der gravierenden Lücke boten sie aber über ein Jahr nur Scheinsicherheit.

Der "Goto Fail"-Fail, wie der Fehler nach der doppelten Codezeile heißt, ist ein offenes Scheunentor für sicherheitskritische Anwendungen. Vor allem, da diese Lücke jetzt weit bekannt ist, sollte man sofort auf iOS 7.0.6 aktualisieren oder auf iOS 6.1.6. Jeder, der iPhone oder iPad gelegentlich im Café oder im Flughafen-WLAN nutzt, setzt sich sonst unmittelbarer Gefahr aus, dass Bankingdaten oder Passwörter für Mail und Co. in falsche Hände geraten.

Nutzer können iOS 7.0.6 und 6.1.6 über die Softwareaktualisierung in den allgemeinen iOS-Einstellungen oder über iTunes installieren. auf dem iPhone ist das Update nur rund 16 MByte groß. (Macwelt/mje)