Michal Ždanský Es ist fast alarmierend, wie lange Apple seine Benutzer, insbesondere alle, die den App Store nutzen, der potenziellen Gefahr einer unverschlüsselten Kommunikation zwischen dem App Store und den Servern des Unternehmens ausgesetzt hat. Erst jetzt hat Apple damit begonnen, HTTPS zu verwenden, eine Technologie, die den Datenfluss zwischen dem Gerät und dem App Store verschlüsselt.
Google-Forscher Elie Bursztein berichtete am Freitag über das Problem blogu. Bereits im Juli letzten Jahres entdeckte er in seiner Freizeit mehrere Schwachstellen in Apples Sicherheit und meldete diese dem Unternehmen. HTTPS ist ein seit Jahren verwendeter Sicherheitsstandard, der eine verschlüsselte Kommunikation zwischen einem Endbenutzer und einem Webserver ermöglicht. Es verhindert im Allgemeinen, dass ein Hacker die Kommunikation zwischen zwei Endpunkten abhört und vertrauliche Daten wie Passwörter oder Kreditkartennummern abgreift. Gleichzeitig wird überprüft, ob der Endbenutzer nicht mit dem gefälschten Server kommuniziert. Der Sicherheits-Webstandard wird seit einiger Zeit beispielsweise von Google, Facebook oder Twitter angewendet.
Laut Burszteins Blogbeitrag war ein Teil des App Store bereits über HTTPS gesichert, andere Teile blieben jedoch unverschlüsselt. Die Angriffsmöglichkeiten demonstrierte er in mehreren Videos am YouTube, bei dem ein Angreifer beispielsweise Benutzer mit einer gefälschten Seite im App Store dazu verleiten kann, gefälschte Updates zu installieren oder über ein betrügerisches Eingabeaufforderungsfenster ein Passwort einzugeben. Für einen Angreifer reicht es aus, zu einem bestimmten Zeitpunkt eine WLAN-Verbindung in einem ungeschützten Netzwerk mit seinem Ziel zu teilen.
Durch die Aktivierung von HTTPS hat Apple viele Sicherheitslücken geschlossen, allerdings hat dieser Schritt viel Zeit in Anspruch genommen. Und selbst dann ist er weit vom Sieg entfernt. Laut Unternehmenssicherheit Qualys Sie hat immer noch Lücken in der Sicherheit von Apple über HTTPS und bezeichnete diese als unzureichend. Allerdings sind Schwachstellen für potenzielle Angreifer nicht leicht zu erkennen, sodass sich Benutzer keine allzu großen Sorgen machen müssen.
Wie nett. Jetzt konnten sie endlich die Geschwindigkeitsbegrenzung erreichen. Seit einigen Monaten ist es unglaublich langsam.