Freitag (21.02.14) hat Apple vor einem Sicherheitsleck in seiner Betriebs-Software iOS 6 und iOS 7 sowie in Mac OS X 10.9 gewarnt. Ein Programmierfehler führt dazu, dass eine eigentlich abgesicherte Datenverbindung (https://) unter Umständen nicht wirklich vertrauenswürdig ist. Durch den Fehler ist es möglich, dass Betrüger eine vertrauensvolle Gegenstelle simulieren, um den Betroffenen auszuspionieren.

Das entdeckte Sicherheitsleck ist schwerwiegend. Angreifer können die Lücke ausnutzen, um in einem offenen WLAN dem Apple-Gerät eine sicherere Gegenstelle vorzugaukeln. Dabei können dann Zugangsdaten abgegriffen werden, etwa bei der Anmeldung bei Apple, Twitter, Dropbox, Facetime oder anderen Onlinediensten.

Diese Logindaten werden teilweise sogar unbemerkt übertragen, etwa wenn man spezielle Software nutzt, um auf diese Daten zuzugreifen. Viele Programme nutzen die im Betriebssystem verankerte Funktion, die den Fehler aufweist, deshalb sind auch so viele Apps und Programme betroffen. Theoretisch könnten Angreifer auch E-Mails abfangen oder umleiten, sie könnten Trojaner ins System einschleusen und vieles andere mehr.

 

Apple-Benutzer sollten sofort ein Update einspielen. Für Mobilgeräte steht bereits ein Update mit der Versionsnummer 7.0.6 zur Verfügung. Sofern noch nicht geschehen, sollte das Update unverzüglich geladen und installiert werden. Für Apple Macintosh (Mac OS X 10.9) steht bislang noch kein Update zur Verfügung. Sobald Apple dieses fertiggestellt hat, sollte auch das geladen und installiert werden. Bis dahin gilt: Öffentliche WLANs in Cafés, Flughäfen, Bahnhöfen oder Zügen meiden. Hier ist die Gefahr am größten, dass das Sicherheitsleck ausgenutzt wird. Wer einen Apple Macintosh nutzt, sollte definitiv nicht Apple Safari zum Browsen verwenden, sondern alternative Browser wie Firefox oder Chrome. Beide verwenden nicht die Systemfunktionen und können daher auch in keine Falle tappen. Diese Browser sind derzeit zu bevorzugen.

Der fehlerhafte Programmcode von Apple ist hier öffentlich zugänglich. Deutlich zu erkennen ist die wiederholte Anweisung goto fail; Sieht unscheinbar aus, sorgt aber dafür, dass die Sicherheitszertifikate nicht korrekt überprüft werden. Apple-Nutzer können auf dieser Seite prüfen, ob ihr Browser von der Sicherheitslücke betroffen ist.