Wer mit seiner Bank kommuniziert, geht davon aus, dass der Datentransfer verschlüsselt abläuft, damit Dritte nicht mitlesen können. Das ist zwar mittlerweile fast immer so, freilich bringt die Verschlüsselung wenig, wenn sie Sicherheitslücken aufweist. Und genau mit solche einem Problem sehen sich nun zahlreiche iPhone-Nutzer konfrontiert.

Umfang

Wie Arstechnica berichtet, sind aktuell rund 1.500 iPhone-Apps von Man-in-the-Middle-Angriffen bedroht. Darunter diverse Bank-Apps, die Alibaba.com-App oder auch das verbreitete "Movies by Flixster". Insgesamt wurden all die betroffenen Apps bisher rund zwei Millionen mal heruntergeladen.

Umsetzung

Allen ist eines gemein: Sie nutzen eine veraltete Version der Open-Source-Bibliothek AFNetworking, um Netzwerkaufgaben zu implementieren. Diese weist einen Fehler in der Zertifikatsprüfung auf, so dass Dritte - etwa in einem öffentlichen WLAN - ein falsches SSL/TLS-Zertifikat unterjubeln und in Folge den Datenverkehr mitlesen können.

Einschränkung

AFNetworking hat das Problem zwar bereits vor drei Wochen mit einem Update auf die Version 2.5.2 gelöst, diese wurde aber von vielen App-Herstellern noch nicht übernommen, wie eine Analyse von SourceDNA zeigt. Bei der Untersuchung wurden sämtliche kostenlosen sowie die Top-5.000 kostenpflichtigen iOS-Apps überprüft.

Test

Dass nicht mehr Apps betroffen sind, liegt übrigens nur daran, dass viele davon eine noch ältere Version von AFNetworking einsetzen, die Lücke aber nur in der Version 2.5.1 vorhanden ist. Ob eine einzelne App gefährdet ist, kann über eine von SourceDNA bereitgestellte Suche herausgefunden werden. Dort sieht man dann auch, welche Hersteller bereits reagiert haben, so war etwa Microsofts OneDrive ursprünglich ebenfalls von dem Bug betroffen, das Unternehmen hat seine App aber mittlerweile aktualisiert. Insgesamt nutzen rund 100.000 iPhone-Apps AFNetworking. (apo, 21.4.2015)