Apple-Sicherheitslücke: Was jetzt zu tun ist

24. Februar 2014, 12:57 Uhr | Archiv

Das schon länger vorhandene Fehler bei der Verschlüsselung für gesicherte Verbindungen ist jetzt bekannt, und damit steigt auch die Gefahr, Opfer einer man-in-the-middle Attacke zu werden. Für Mobilgeräte von Apple sind Sicherheits-Updates am Wochenende veröffentlicht worden – aber nicht für alle Geräte. Und Besitzer von Desktop-Macs müssen noch auf ein Sicherheitsupdate warten. beyond-print liefert eine kurze Zusammenstellung der Do´s und Dont´s, die jetzt zu beachten sind.
(Update: Jetzt auch Sicherheitsupdate für OS X 10.9 verfügbar)

Der Fehler für gesicherte Verbindungen über https mit SSL/TLS geschützten Sessions, wie etwa beim Online-Banking, tritt durch einen einfache Doppler der Anweisung „goto fail“ auf und erlaubt Hackern sich in die gesicherte Session einzuschmuggeln. Das machte ein Google-Mitarbeiter auf seinem Blog öffentlich. Dem Anwender fällt dies gar nicht auf. Vergleichsweise einfach ist die Beseitigung dieser Sicherheitslücke durch das iOS-Update auf Version 7.06, das bereits verfügbar ist. Entsprechende Geräte sollten den Download automatisch anzeigen. Dies sind iPhones ab der vierten Generation, das iPod touch der fünften Generation und iPads ab der zweiten Generation. Ältere Geräte, die nicht mit iOS 7 laufen (wie das iPad erste Generation) sind angeblich nicht betroffen. Jedoch hat dies Apple so noch nicht bestätigt.

Mobile Anwender sollten also bis zur Aktualisierung auf iOS 7.06 keine sicherheitsrelevanten Daten wie Passwörter, Bankverbindungen o.ä. über https-Verbindungen (kenntlich am Sicherheitsschloss in der Browser-Adressleiste) eingeben. Auch Besitzer älterer Geräte sollten auf sensible Datenverbindungen vorläufig verzichten, bis die Unbedenklichkeit für iOS-Version bis 6.x geklärt ist. Erst recht sollte man keine sensiblen Daten in WLANs oder gar öffentlichen Hotspots und Netzwerken verwenden, wenn nicht das Sicherheitsupdate eingespielt ist. Auch das Herunterladen des Updates sollte nur in einem vertrauenswürdigen Netzwerk vorgenommen werden.

Testergebnis von gotofail.com mit dem aktuellen Safari-Browser

Testergebnis von gotofail.com mit dem aktuellen Safari-Browser

Mac-Anwender mit OS X 10.x oder älter haben (Stand Montag 12:45) noch keine Möglichkeit, ein Sicherheitsupdate zu installieren. Auch für sie gelten die Aussagen des vorigen Absatzes: Keine sensiblen Daten in öfffentlichen Netzwerken oder WLANs über https-Verbindungen absenden. Auch zur verwendeten Software kann noch keine gesicherte Empfehlung abgegeben werden. Der Doppler-Fehler war ein einer für Programmierer öffentlich zugänglichen Code-Datei enthalten und es ist nicht gesichert, welche Software diesen Code für SSL/TLS-Sessions verwendet. Nur für Apple-eigene Software wie Safari oder Mail steht dies mit Sicherheit fest. Tipps, auf andere Browser wie Firefox oder Chrome auszuweichen, sollten demnach nicht befolgt werden. Wer Vertrauen in den Autoren hat, kann auf dieser Webseite seine Browser-Version auf Sicherheit testen lassen.

 

Über den Autor

beyond-print.de

0 Kommentare


Was meinen Sie zu diesem Thema?

Wir freuen uns über Ihren Kommentar.

Schreibe einen Kommentar

* Pflichtangaben; Ihre E-Mail-Adresse wird nicht veröffentlicht.
 

Copyright

Copyright 2015 Bernd Zipper, zipcon consulting GmbH

Archiv