Image Image Image Image

Weblogit | December 23, 2024

War die Apple-SSL-Sicherheitslücke reine Absicht?

War die Apple-SSL-Sicherheitslücke reine Absicht?

Der international anerkannte Sicherheits-Guru, Autor und Kryptografie-Experte Bruce Schneier spricht in seinem Blog die allgemeine Unmut über den kürzlich veröffentlichten und mittlerweile gepatchten SSL-Bug bei Apples iOS und Mac OS X an. Handelte es sich bei dem Bug etwa um eine Hintertür der US-Regierung, beziehungsweise der NSA? Schneier sieht in den Eigenschaften des Bugs alle Anzeichen für eine absichtliche Handlung, die mit einer Hintertür zusammenhängt. Der Fehler sei in seinen Augen subtil, einfach im Hinblick auf Absichten zu leugnen und mit minimalem verschwörerischem Aufwand zu implementieren.

Nach einigen Kommentaren revidierte Schneier partiell seine Aussage in einer zusätzlichen Anmerkung, dass Apples Code-Auditing den Fehler hätte entdecken und an die Quelle zurückverfolgen müssen. Es wäre durchaus offensichtlich gewesen, ob es sich dabei um einen tatsächlichen menschlichen Fehler oder eine böswillige Aushebelung gehandelt hätte.

Meine Empfehlungen für dich

Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.

Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.

Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.

Screenshot 2014-02-27 16.16.36

Wer sich den Code der die Sicherheitslücke betrifft mal bei Ars Technica angeschaut hat,  erkennt im zweiten "goto fail;" den Punkt des Abbruchs und das Überspringen einer wichtigen Kondition, die im Ablauf nicht geprüft wird.

Jemand hat also mit einer vergleichsweise kleinen Änderung, die man auch recht leicht als unglücklichen Copy-Paste-Fehler darstellen könnte, die Sicherheit an dieser Stelle effektiv ausgehebelt. Das würde beispielsweise einem Sicherheitsdienst (oder aber auch vielen anderen Angreifern) erlauben, mit einem gefälschten Sicherheitszertifikat eine Menge sensibler Daten abzugreifen.

Normalerweise sollte dieser Fehler beim Kompilieren auffallen, wieso also nicht bei Apple?

NSA-slides-explain-the-PRISM-data-collection-program-The-Washington-Post-600x450

Diese geleakte Powerpoint-Folie zeigt den Umfang der NSA-Spionageaffäre.

Die SSL-Sicherheitslücke wurde in iOS 6.0 eingeführt - etwa am 24. September 2012. Die geleakten PowerPoint-Folien aus dem PRISM-Programm der NSA terminieren den "Beitritt" von Apple (wissentlich oder unwissentlich, was wissen wir schon) auf Oktober 2012. John Gruber von Daring Fireball beschreibt unterschiedliche Stufen der Paranoia, die von "Nix passiert" bis hin zu "Apple hat als Komplize der NSA den Bug eingebaut" reichen.

Was meint ihr? Wurde dieser Bug vielleicht ohne das Wissen von Apple eingepflanzt? War Apple an der Planung beteiligt? Oder handelt es sich nur um einen unglücklichen Zufall?

Glücklicherweise wurde der Bug ja in Mac OS X 10.9.2 und in iOS 7.0.6 beseitigt. Außerdem gibt es einen passenden Patch in Cydia, der Eure HTTPS-Kontakte auch ohne iOS-Update sicher macht. Wenn Ihr auf Eurem Mac einen Test fahren wollt: gotofail.com prüft auf diese Sicherheitslücke.


Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵


ANZEIGE


Beliebte Beiträge auf WEBLOGIT:



Weblogit