Vorherige Artikel
Nächster Artikel
Christian
mehr Artikel
In den vergangenen Tagen beherrschte vor allem ein Thema die gesamte (Technik-) Presse: Die Whatsapp Übernahme durch Facebook. Und dadurch kam ein viel wichtigeres Thema ein wenig zu kurz, und zwar das TSL/ SSL Sicherheits-Update alias iOS 7.0.6 und iOS 6.1.6. Denn dieses Update ist alles andere als „unwichtig“.
Gegenüber der Nachrichtenagentur Reuters erklärte Apple, dass diese Sicherheitslücke auf unter OS X vorhanden sei („We are aware of this issue and already have a software fix that will be released very soon.“). Durch OS X 10.9.2 wurde auch dieses Leck glücklicherweise schon geschlossen. Aber was steckt nun hinter der Sache mit der SSL / TLS Authentifizierung?
Los geht es da (mal wieder) bei der NSA: Laut den Informationen von Whistleblower Edward Snowden, begann man auch bei Apple im Oktober 2012 mit Abhöraktionen. Das Interessante: Diese SSL-Lücke existierte nicht in iOS 5.1.1, sondern erst in iOS 6.0, welches im September 2012 veröffentlicht wurde.
„I have confirmed that the SSL vulnerability was introduced in iOS 6.0. It is not present in 5.1.1 and is in 6.0.“ (Jeffrey Grossman)
Aber urteilt nicht zu schnell, es kann (muss aber nicht) auch ein Zufall sein, die Kollegen von ImperialViolet erklären das Ganze sehr anschaulich. Im Prinzip geht es um eine doppelt eingefügte Zeile im iOS Quellcode. John Gruber dazu zu möglichen Zusammenhängen zwischen dem Bug und der NSA:
- Die NSA wusste nichts von dem Problem und war, bzw. ist nicht beteiligt.
- Die NSA wusste von der Lücke, nutzte diese jedoch nicht.
- Die NSA wusste von dem Leck und nutzte dieses aus.
- Die NSA sorgte dafür, dass der Bug entsteht und nutzte ihn aus.
- Die NSA und Apple arbeiten zusammen.
Der Bug mit der TSL/ SSL Verbindung lässt sich ausnutzen, sobald man sich im gleichen Netzwerk mit dem Opfer befindet. Durch einen sogenannten „Man in the middle“ Angriff lassen sich mittels nachgebauter gefakter Webseiten private und vertrauliche Informationen, wie beispielsweise Kreditkarteninfos oder Login-Daten leicht ausspähen. Die Kollegen von iMore haben den Bug ebenfalls näher erklärt.
Adam Langley oder i0n1c:
“Note the two goto fail lines in a row. The first one is correctly bound to the if statement but the second, despite the indentation, isn’t conditional at all. The code will always jump to the end from that second goto, err will contain a successful value because the SHA1 update operation was successful and so the signature verification will never fail.
This signature verification is checking the signature in a ServerKeyExchange message. This is used in DHE and ECDHE ciphersuites to communicate the ephemeral key for the connection. The server is saying “here’s the ephemeral key and here’s a signature, from my certificate, so you know that it’s from me”. Now, if the link between the ephemeral key and the certificate chain is broken, then everything falls apart. It’s possible to send a correct certificate chain to the client, but sign the handshake with the wrong private key, or not sign it at all! There’s no proof that the server possesses the private key matching the public key in its certificate.
Since this is in SecureTransport, it affects iOS from some point prior to 7.0.6 (I confirmed on 7.0.4) and also OS X (confirmed on 10.9.1).”
Übrigens: Wie man es bereits aus der Vergangenheit gewohnt ist, kommt eine Negativschlagzeile selten alleine. FireEye hat eine weitere Sicherheitslücke in iOS entdeckt. Dabei handelt es sich um die Möglichkeit für Dritte, mittels einer manipulierten App alle Eingaben (sei es am Display oder durch Hardwarebuttons) der User auszuspähen und an einen Remote Server zu senden.
Die App sendet permanent Informationen an den Server, auch wenn die App nicht geöffnet oder die Hintergrundaktualisierung deaktiviert ist. Lediglich das Beenden der App im Multitasking behebt das Problem. FireEye arbeitet gemeinsam mit Apple bereits an einer Lösung.
Viele negative News über Apple und ihre vermeintlich „sicheren“ Systeme. Allerdings wollen wir nochmal ausdrücklich darauf hinweisen, dass es sich hierbei nicht um Panikmache handelt, Apple hat die meisten Bugs geschlossen oder ist bereits im Begriff dies zu tun. Wer sein Gerät regelmäßig aktualisiert ist immer auf der richtigen Seite.
