Das AFNetworking Framework stammt nicht von Apple, wird allerdings von einer gewissen Anzahl von Apps im Apple-Ökosystem genutzt. In diesem Framework ist ein unschöner Bug enthalten, der die Sicherheit von HTTPS - also die verschlüsselte Übertragung von beispielsweise Userdaten in Formularen auf Websites - tiefgreifend kompromittiert. Mindestens 1.500 Apps sind von dem Bug betroffen.
Sensible Daten durch ungeprüftes Zertifikat abgreifbar
Es handelt sich dabei um einen Man-in-the-Middle-Angriff, der das Anzapfen des Datenstroms zwischen iDevice und Web mit einem Fake-WLAN-Hotspot oder dergleichen benötigt. Die eigentlich verschlüsselten Daten sind bei diesem Angriff lesbar, weil das SSL-Zertifikat von den anfälligen Apps nicht geprüft wird. Somit ist besonders bei der Nutzung öffentlicher Hotspots oder ungesicherter Netze ziemliche Vorsicht geboten, wenn es um sensible Daten geht.
Wer auf Nummer sicher gehen möchte, kann seine Apps bei SourceDNA prüfen. In die Suche lassen sich die Entwickler-Namen (bei iTunes ersichtlich) für eine Übersicht eingeben. Hier geht es zum Prüfungs-Tool für Sicherheitslücken bei SourceDNA.
Große Namen sind dabei
Mit dabei waren beispielsweise die App von Citrix für Audiokonferenzen, der beliebte Mailclient "Mailbox" von Dropbox, die offizielle Alibaba App des riesigen chinesischen Versandhandels, Movies by Flixster und viele weitere Apps. Insgesamt sind die gefundenen betroffenen Apps auf etwa 2 Millionen iDevices installiert.
Der Anbieter des AFNetworking-Frameworks hat die SSL-Lücke schon vor drei Wochen mit dem Update auf Version 2.5.2 geschlossen - leider haben viele App-Entwickler ihre Apps noch nicht aktualisiert und somit wird in der freien Wildbahn häufiger noch das anfällige Framework verwendet. Wir hoffen auf ein baldiges Update der betroffenen Apps durch die Entwickler.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
