Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Wie man den SSL-Bug umgeht

Während sich die Nutzer von iPad, iPhone und iPod touch bereits am Freitag über eine schnelle Behebung des SSL-Bugs freuen konnten, warten OS X User weiter ungeduldig auf das entsprechende Sicherheitsupdate. Doch wie schützt man sich bis zum Erscheinen eines Fix für OS X? Grundsätzlich besteht die Gefahr vornehmlich in ungesicherten öffentlichen WLANs wie z.B. Hotspots in Cafés – am heimischen Router mit WPA-Verschlüsselung ist man sicher, solange im gleichen Netzwerk nur User angemeldet sind, denen man vertraut. In einem öffentlichen WLAN gilt es aber, einige Dinge zu beachten.

Möchte man nur Homepages nutzen (z.B. für Online Banking), die per SSL gesichert sind (HTTPS), empfiehlt es sich, anstatt Safari einen anderen Browser mit eigener Engine wie Chrome oder Firefox einzusetzen. Die Sicherheitslücke befindet sich in Apples Datentransfermethode SecureTransport, die unter anderem von Safari genutzt wird – andere Browser verwenden das nicht betroffene NNS. Ein großes Problem ist, dass Apple SecureTransport systemweit einsetzt – daher ist nicht nur der Browser betroffen, sondern ebenso u.a. Mail, Nachrichten und Facetime. Deswegen sollte man die angesprochenen Dienste auf dem Mac in öffentlichen WLANs momentan gar nicht verwenden.

Als Faustregel gilt: Zuhause ist man bei entsprechend gesichertem WLAN-Zugang weniger vor aktiver Ausnutzung gefährdet, unterwegs in öffentlichen WLAN-Netzen sollte man aktuell im Zweifelsfall lieber auf den Austausch kritischer Daten verzichten. Mit einem Sicherheitsupdate für OS X wird zeitnah gerechnet.

Weiterführende Links:
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
iPhone 16: Welche Netzteile schnelles Laden versprechen
iPhone 16: Welche Netzteile schnelles Laden ver...
Kopfhörer für Workout
Kopfhörer für Workout
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples Eskalationskurs und Gebühren-Wirrwarr
Das MacBook Pro M4
Das MacBook Pro M4
iOS 18.0.1, iPadOS 18.0.1, macOS 15.0.1, watchOS 11.0.1 und visionOS 2.0.1 soeben erschienen
iOS 18.0.1, iPadOS 18.0.1, macOS 15.0.1, watchO...
Bewertung der gestrigen Neuvorstellungen: Umwerfend ist anders
Bewertung der gestrigen Neuvorstellungen: Umwer...
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...

Kommentare

ChrisK
ChrisK24.02.14 16:43
am heimischen Router mit WPA-Verschlüsselung ist man sicher

... Sofern der Router nicht infiltriert wurde (bei den Fritzboxen mit den Sicherheitslücken letztens ja auch evtl. nicht garantiert)
Wer anderen eine Bratwurst brät, hat ein Bratwurstbratgerät.
0
trashcantrasher24.02.14 16:44
Danke für die Aufklärung!
0
paraneujahr24.02.14 16:45
...allerdings sollen auch nicht alle Verschlüsselungen betroffen sein. Bei Heise kann man lesen: Die Verwundbarkeit, über die wir hier sprechen, tritt nur auf für SSL-Verbindungen, die den Diffie-Hellman-Schlüsselaustausch verwenden – und nicht TLS v1.2."

http://www.heise.de/mac-and-i/artikel/SSL-Luecke-in-iOS-und-OS-X-Ein-Sicherheitsdesaster-2121951.html
0
Qualle24.02.14 16:59
Dann sollte ich sicher sein, wenn ich aus dem öffentlichen WLAN über VPN ins Heimnetz gehe und von dort aus weiter - oder?
0
Dieter24.02.14 17:02
Nicht alle iPhone-Besitzer haben eine Lösung!

Hörbücher haben einfach keine Lobby, daher kann man zu dem Problem nichts in den News-Artikeln lesen. Jetzt muss ich überlegen:
1. Risiko
2. Jailbreak und Cydia sslfix
3. iOS 7
0
Megaseppl24.02.14 17:04
paraneujahr
...allerdings sollen auch nicht alle Verschlüsselungen betroffen sein. Bei Heise kann man lesen: Die Verwundbarkeit, über die wir hier sprechen, tritt nur auf für SSL-Verbindungen, die den Diffie-Hellman-Schlüsselaustausch verwenden – und nicht TLS v1.2."
Das bei einer Man-in-the-middle-Attacke relativ egal. Dort wird dann die Verschlüsselung verwendet die die Schwachstelle im Code aufweist. Das echte Zertifikat ist irrelevant da es der Client-Browser nicht zu Gesicht bekommt: Es wird ganz einfach vorher ausgetauscht. Safari aber denkt nach wie vor dass alles okay sei.
0
Megaseppl24.02.14 17:12
Qualle
Dann sollte ich sicher sein, wenn ich aus dem öffentlichen WLAN über VPN ins Heimnetz gehe und von dort aus weiter - oder?

Nee, lediglich wenn Du eigenen Proxy verwendest der die SSL-Verbindung vorab überprüft, öffnet und dann erneut bis zum Endgerät mit einem validen Zertifikat verschlüsselt.
Der Proxy bzw. dessen Zertifikate müssen als Vertrauensstelle zudem an den (OS X-)Clients autorisiert werden.
Dies ist aber keinem normalen Nutzer zumutbar - trifft man allerdings in Unternehmen häufiger an da nur auf diesem Weg z.B. serverseitige Virenscanner eine SSL-Verbindung entschlüsseln und überprüfen können.
0
claudiusw
claudiusw24.02.14 17:19
Diese Meldungen und die in den vielen Foren geschriebenen Reaktionen sind mir etwas zu sehr die Panik. Man sollte sich erst mal informieren und sich mal das Szenario vergegenwärtigen, bevor man hier in panische Reaktionen Dinge schreibt. Die Wahrscheinlichkeit einem aktiven Angriff ausgesetzt zu sein liegt in der Praxis wohl im Promille Bereich oder weniger. Ich will damit die Lücke nicht verharmlosen, aber ich glaube, dass es mehr Leute gibt, die auf Phishing Attacken hereinfallen als von dieser Lücke aktiv betroffen zu sein.
You can­not cre­ate good ty­pog­ra­phy with Arial.
0
Thomas Kaiser
Thomas Kaiser24.02.14 17:21
Qualle
Dann sollte ich sicher sein, wenn ich aus dem öffentlichen WLAN über VPN ins Heimnetz gehe und von dort aus weiter - oder?

Nein! Du bist in der Situation vor potentiellen Angreifern, die dort im WLAN lauern sollten, zwar geschützt. Aber ein MITM-Angriff kann auch sonstwo auf dem Weg zwischen Deinem Rechner/Device und dem Zielrechner ansetzen. Insofern ist die flapsig dahingeschriebene Faustregel "Zuhause ist man bei entsprechend gesichertem WLAN-Zugang geschützt", die hier seitens MTN aufgestellt wird, ausgesprochen unverantwortlich bzw. grenzwertig (wie auch der restliche "Artikel": SecureTransport ist ein Security-Framework und keine "Datentransfermethode", andere Browser benutzen nicht "NNS" sondern Network Security Services)

Die interessierte Krypto-Gemeinde hatte jetzt ein ganzes Wochenende + einen weiteren Tag Zeit, um MITM-Attacken vorzubereiten. Wenn von denen jetzt jemand per DNS-Spoofing Zugriffe auf bspw. icloud.com oder itunes.apple.com umleitet, dann springen hübsch viele geklaute Apple-IDs ab, wenn Leute in gutem Glauben davon ausgehen, sie könnten von ihrem eigenen Netzwerk daheim aus sicher TLS-gestützte Dienste nutzen, wenn Angriffsmöglichkeiten letztlich irgendwo zwischen Client und Server bestehen.
0
diddom
diddom24.02.14 17:28
Und deshalb ist es um so weniger zu verstehen, wieso Apple einzig ein Update nur für iOS verbunden mit der Öffentlichmachung der Schwachstelle rausbringen konnte.
Es wäre deutlich schlauer und im Interesse der Kunden gewesen, zeitgleich einen Security hotfix für OSX rauszubringen. Dafür dürften doch ein paar Mitarbeiter zur Verfügung stehen bei einem der reichsten Unternehmen der Welt...
Jeder Tag, den es länger dauert, erhöht die Wahrscheinlichkeit, das irgendwelche Halunken alles dran setzen, diese Lücke auszunutzen...
0
Thomas Kaiser
Thomas Kaiser24.02.14 17:32
claudiusw
Ich will damit die Lücke nicht verharmlosen, aber ich glaube, dass es mehr Leute gibt, die auf Phishing Attacken hereinfallen als von dieser Lücke aktiv betroffen zu sein.

Aber meinst Du nicht, dass genau so eine Lücke die perfekte Ergänzung zu einer Phishing-Attacke ist? Durch die fehlende Überprüfung von Zertifikaten kannst Du trotz vorgeblich "sicherer Verbindung" wunderhübsch den kompletten Traffic inkl. Logon Credentials abfischen und kannst Dich auf dem Weg ganz ohne aufwändige Manipulation von DNS-Einträgen oder Routen zwischen Mac und Zielsystem klemmen.

Ich hab im Moment keine Ahnung, wieviel Dienste es abseits Browser gibt, die man mit sowas ggf. auch austricksen kann. Aber 'ne schöne Phishing-Mail, die auf einen beliebigen MITM-Proxy zeigt, der gar keine eigene Funktionalität braucht, weil er einfach alles durchreicht (und selbstredend mitschneidet)... ist doch verdammt attraktiv, solange Apple den Bug in OS X nicht fixt und irgendwelche Webseiten wie hier auch Entwarnung bzgl. "in den eigenen 4 Wänden" geben...
0
Tom
Tom24.02.14 18:21
Dieter
.... Jetzt muss ich überlegen:
1. Risiko
2. Jailbreak und Cydia sslfix
3. iOS 7

Bei Cydia muss man nach " SSLPatch " suchen ....

Für IOS 6.0 - 7.0.4
0
o.wunder
o.wunder24.02.14 20:53
Das ach so sichere iMessage nutzt auch diesen grauseligen Source Code den wohl ein Praktikant geschrieben hat? Es ist unglaublich wie schlecht das bei Apple läuft. mein Eindruck das Apple kaum selber testet betätigt sich damit. Die lassen lieber Ihre Kunden testen, bzw Softwareentwickler die Software für Apple Geräte entwickeln. Na ja...
0
Dieter24.02.14 21:38
Tom
Dieter
.... Jetzt muss ich überlegen:
1. Risiko
2. Jailbreak und Cydia sslfix
3. iOS 7

Bei Cydia muss man nach " SSLPatch " suchen ....

Für IOS 6.0 - 7.0.4
Stimmt!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.