Mit seinem Tool mitmproxy Apples fehlerhafte SSL-Implementierung auszunutzen habe ihn keinen ganzen Tag gekostet, berichtet der Sicherheitsforscher Aldo Cortesi in einem Blogeintrag am Dienstag. Er konnte auf diese Weise HTTPS-Verbindungen von iOS-Geräten (außer mit iOS 7.0.6) und Macs mit OS X 10.9 Mavericks abhören – und "fast allen" verschlüsselten Traffic, inklusive der Benutzernamen und Passwörter, vollständig mitschneiden, betont Cortesi.

Der Sicherheitsforscher erklärt, dass Verbindungen zum App Store sowie der Softwareaktualisierung, iCloud-Daten (inklusive Registrierung für den Schlüsselbund-Sync), Kalendereinträge und Erinnerungen, Find-My-Mac-Updates und der Datenverkehr von bestimmten Programmen wie dem Twitter-Client darunter fallen.

Den Ernst des Problems übertrieben darzustellen sei schwierig, so Cortesi, der die Anpassung für mitmproxy vorerst nicht veröffentlichen will. Einige "spezielle Dinge" seien erforderlich, um die Schwachstelle auszunutzen, schreibt der Sicherheitsforscher auf Twitter. Wenn Apple das Problem beseitigt hat, will er Details nennen.

Die gravierende SSL-Schwachstelle mit iOS 7.0.6, iOS 6.1.6 und Apple TV 6.0.2 hat Apple am vergangenen Freitag behoben – bis jetzt steht für Macs mit OS X 10.9 Mavericks allerdings kein Update bereit, die nun weithin bekannte Lücke lässt sich nach wie vor ausnutzen. Der Angreifer muss dazu im selben Netzwerk sein.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE