Image Image Image Image

War die Apple-SSL-Sicherheitslücke reine Absicht?

War die Apple-SSL-Sicherheitslücke reine Absicht?

Der international anerkannte Sicherheits-Guru, Autor und Kryptografie-Experte Bruce Schneier spricht in seinem Blog die allgemeine Unmut über den kürzlich veröffentlichten und mittlerweile gepatchten SSL-Bug bei Apples iOS und Mac OS X an. Handelte es sich bei dem Bug etwa um eine Hintertür der US-Regierung, beziehungsweise der NSA? Schneier sieht in den Eigenschaften des Bugs alle Anzeichen für eine absichtliche Handlung, die mit einer Hintertür zusammenhängt. Der Fehler sei in seinen Augen subtil, einfach im Hinblick auf Absichten zu leugnen und mit minimalem verschwörerischem Aufwand zu implementieren.

Nach einigen Kommentaren revidierte Schneier partiell seine Aussage in einer zusätzlichen Anmerkung, dass Apples Code-Auditing den Fehler hätte entdecken und an die Quelle zurückverfolgen müssen. Es wäre durchaus offensichtlich gewesen, ob es sich dabei um einen tatsächlichen menschlichen Fehler oder eine böswillige Aushebelung gehandelt hätte.

Screenshot 2014-02-27 16.16.36

Wer sich den Code der die Sicherheitslücke betrifft mal bei Ars Technica angeschaut hat,  erkennt im zweiten "goto fail;" den Punkt des Abbruchs und das Überspringen einer wichtigen Kondition, die im Ablauf nicht geprüft wird.

Jemand hat also mit einer vergleichsweise kleinen Änderung, die man auch recht leicht als unglücklichen Copy-Paste-Fehler darstellen könnte, die Sicherheit an dieser Stelle effektiv ausgehebelt. Das würde beispielsweise einem Sicherheitsdienst (oder aber auch vielen anderen Angreifern) erlauben, mit einem gefälschten Sicherheitszertifikat eine Menge sensibler Daten abzugreifen.

Normalerweise sollte dieser Fehler beim Kompilieren auffallen, wieso also nicht bei Apple?

NSA-slides-explain-the-PRISM-data-collection-program-The-Washington-Post-600x450

Diese geleakte Powerpoint-Folie zeigt den Umfang der NSA-Spionageaffäre.

Die SSL-Sicherheitslücke wurde in iOS 6.0 eingeführt - etwa am 24. September 2012. Die geleakten PowerPoint-Folien aus dem PRISM-Programm der NSA terminieren den "Beitritt" von Apple (wissentlich oder unwissentlich, was wissen wir schon) auf Oktober 2012. John Gruber von Daring Fireball beschreibt unterschiedliche Stufen der Paranoia, die von "Nix passiert" bis hin zu "Apple hat als Komplize der NSA den Bug eingebaut" reichen.

Was meint ihr? Wurde dieser Bug vielleicht ohne das Wissen von Apple eingepflanzt? War Apple an der Planung beteiligt? Oder handelt es sich nur um einen unglücklichen Zufall?

Glücklicherweise wurde der Bug ja in Mac OS X 10.9.2 und in iOS 7.0.6 beseitigt. Außerdem gibt es einen passenden Patch in Cydia, der Eure HTTPS-Kontakte auch ohne iOS-Update sicher macht. Wenn Ihr auf Eurem Mac einen Test fahren wollt: gotofail.com prüft auf diese Sicherheitslücke.


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:

  • applefanboy

    Der SSL- Patch 1.0 sollte überarbeitet werden da dieser Ram frisst warum auch immer. Vorher beim ip 4 ios 6 220MB Ram frei nach der Installation 66MB.. darum wieder deinstalliert. Schade



← Menü öffnen weblogit.net | Home