Nach iOS und Safari jetzt Mail, Twitter, FaceTime, Software Update und mehr mit Sicherheitleck

Vielleicht habt ihr es mitbekommen. Vor kurzem ging die News rum, dass Apples iPhones und Tablets dank einer einfachen doppelten Zeile im Programmiercode die Verschlüsselung schlichtweg umgehen und deshalb für Man-In-The-Middle Attacks vorbildlich offen stehen. Dann kam die News, der gleiche Code betrifft auch Safari. Jetzt hat Ashkan Soltani auf Twitter noch ein paar (oops) mehr offene Stellen gefunden, die alle die gleiche SSL Library benutzen. Mail, Twitter, FaceTime, iMessage, Keynote, Calendar, iBooks, ja selbst das Software Update (ganz böse) sind laut ihm von dem gleichen Fehler betroffen. Seit diesem Wochenende ist Apple definitiv nicht mehr sicher. Und ein Fix für OS X ist – trotz der Banalität des Problems – auch nicht in Sicht.

Was tun? Abwarten und Tee trinken? Downgraden auf OS X 10.8? 3rd Party-Patch installieren? Oder vielleicht erst mal Mac testen auf Gotofail.com

PS: Genau dieser Sicherheitlücke, die erst seit iOS 6 auftritt, unterstellt John Gruber übrigens auch den Beitritt von Apple zur NSAs PRISM Programm.

2 Responses

  1. Moritz Reiter

    Lieber Herr Kösch,

    selbstverständlich ist dieser Fehler für Apple überaus peinlich, da gibt es nichts zu beschönigen. Aber Ihr Kommentar dazu ist, tut mir Leid, etwas hysterisch geraten.

    1. Soltani hat nicht “noch ein paar … mehr offene Stellen gefunden” sondern lediglich, wie er ja selbst in seinem Tweet schreibt, einige der Anwendungen aufgelistet, die die fehlerhafte SSL-Bibliothek nutzen. Dass von dem Fehler nicht nur Safari betroffen sein kann, war sofort mit Entdeckung des Fehlers damit klar, dass er in einer Systembibliothek liegt. Von mehreren Anwendungen genutzt zu werden ist der ganze Sinn dabei, Code in einer Systembibliothek abzulegen.

    2. “Seit diesem Wochenende ist Apple definitiv nicht mehr sicher.” Bitte was? Ich mutmaße, Sie meinen: Seit dem Wochenende ist es für Anwender definitiv nicht mehr sicher, Apple-Produkte zu nutzen. Das ist jetzt zwar semantisch, inhaltlich aber auch nicht korrekt. So wird ein Schuh draus: Seit dem Wochenende ist klar, dass man sich bis zur Veröffentlichung des Maverick-Updates besser nicht mit seinem Mac in ein Café mit Wifi setzen sollte wenn man nicht genau weiß, was man tut.

    3. Was mit Ihrem Post Scriptum gemeint ist, lässt sich auch bloß mutmaßen. Jedenfalls ist bei Ihrer Quelle John Gruber nichts davon zu lesen, Apple sei PRISM “beigetreten”. Gruber stellt lediglich Spekulationen darüber an, dass der Fehler von einem NSA-Maulwurf bei Apple in den Code eingeschleust worden sein könnte und dadurch die NSA Apple ihrem PRISM-Programm zugefügt hätte (“added”). Er selbst schreibt aber auch, dass die wahrscheinlichste Erklärung für die verdoppelte Code-Zeile eine fehlgeschlagene Merge-Operation (automatische Fusion von zwei Entwicklungssträngen des Codes) ist.

    Selbst wenn die NSA die Lücke genutzt haben sollte, was soll daran noch nachrichtenwürdig sein, nach allem, was man inzwischen über die Möglichkeiten von Geheimdiensten bei der Überwachung des globalen Datenverkehrs weiß? Der grassierende, latent antiamerikanische Reflex in Sachen NSA bringt uns da nicht weiter. Wer meint, NSA, Facebook und Google seien dafür verantwortlich, dass das Netz gar nicht mehr so dezentral und offen ist, wie es seine Visionäre anscheinend einmal erdacht hatten, der stellt sich sicher auch vor, fette, Zigarre rauchende Männer hätten sich irgendwann vor 200 Jahren in einem Hinterzimmer getroffen, um den Kapitalismus auszuhecken.

    Das alles ändert nichts daran, dass Apple ganz genau nachforschen sollte (und sicherlich auch wird), wie der Fehler die interne Qualitätssicherung passieren konnte.

    Mit freundlichen Grüßen
    Moritz Reiter

    Reply

Leave a Reply