Riesen SSL-Bug in OSX - alles total unsicher und gefährlich

veröffentlicht am : Di, 25. 02. 2014 geändert am: Di, 25. 02. 2014

Kategorie: Apple --> Computer

Schlagworte: ios osx security


Ja ja... schon wieder.

Mal abgesehen davon, dass der Bug echt peinlich ist und wirklich leicht zu sehen wie z.B. hier, wird es in den Medien des öfteren wirklich ein wenig übertrieben.

Dennoch hat sich Apple mit seinem Verhalten, was den Bug und die Informationspolitik darüber betrifft, nicht gerade mit Ruhm bekleckert. Das geht besser, definitiv ...

Apple ruht sich da manchmal echt ein wenig zu sehr auf dem "wir sind sicher"-Mantra aus. Nehmt die Dinge ernst!

Was ist der Bug genau?

beim überprüfen von SSL Zertifikaten hat sich in OSX und auch iOS ein Fehler eingeschlichen. Man kann somit verschlüsselte SSL- oder auch https-Verbindungen, die ja eigentlich als recht sicher gelten, entführen oder Man-In-the-Middle spielen. HTTPS wird ja von allen wichtigen Sites verwendet: Banking, Shopping... eigentlich alles, was mit Bezahlen zu tun hat. Aber noch mehr: Der Bug ist so tief im System, dass es alles betrifft, was SSL nutzt, also auch Mail oder Calendar. Aber auch Software von Drittanbietern, die auf SSL setzen sind davon betroffen. Es ist also ein sehr gravierender Bug, der auch gefährliche Ausmaße haben kann.

Angeblich sind die Browser Firefox und Chrome nicht betroffen. Also, so kann man den Fehler auch umgehen...

Wie schlimm ist es?

Naja... kommt darauf an. Es gibt ein paar Szenarien, die jetzt funktionieren, und die vorher nicht funktioniert hätten:

  • viel zitiert: in einem ungesicherten Netzwerk könnte jemand deine HTTPS-Verbindung entführen und auslesen. Ungesichertes Netzwerk ist nicht 3G oder LTE sonder ein offenes WLAN z.B. Wer also beim Starbucks kein Homebanking macht, sollte erst mal weitestgehend sicher sein
  • über das gleiche Netzwerk könnte jemand meine Mails mitlesen oder meine Kalendereinträge mitlesen. Ob das nun gefährlich ist oder nicht, sei dahingestellt. es verletzt auf jeden Fall die Privatsphäre und sollte nicht gehen.
  • Habe ich Software, von Drittanbiertern, die über SSL kommuniziert, so ist deren Traffic theoretisch auch angreifbar. Allerdings wieder in einem ungesicherten Netzwerk.
  • Dadurch, dass dem Browser eine "Sichere" Verbindung vorgegaukelt wird, könnten Hacker-Seiten evtl. dem User Sofware unterjubeln, ohne dass dieser es merkt (abhängig von Plugins / Erweiterungen im Browser z.B.)
  • theoretsch könnte jemand sich den Bug zu Nutze machen und auch im Internet SSL-Traffic karpern und überwachen. Dazu müsste er allerdings erst mal einige Router karpern und dann im Traffic noch rausfiltern, dass es sich um einen Mac oder ein iPhone handelt, was da surft um dann den Traffic auszuwerten. Das wäre am lukrativsten, ist aber - abgesehen mit den Mitteln der NSA - für "normale" Hacker nicht machbar. Also, ja es besteht eine Gefahr der man sich bewusst sein muss. Aber es ist nicht so, dass man zwangsläufig gehackt wird - schon gar nicht daheim im eigenen LAN oder WLAN - bei öffentlichen Hotspots sieht das schon anders aus.

Dieser Bug ist gefährlich! Ja! Man muss ihn schnell beheben (installiert das update! jetzt!) Allerdings muss man doch sagen, dass man nicht automatisch Gefahr läuft, gehackt zu werden. Insbesondere wenn man überlegt, was man tut (komische Sites nicht öffnet, links aus Emails immer erst prüft). Oder einfach einen anderen Browser als Safari nutzt - dann ist man zumindest beim surfen sicherer.

Wie kann man sich schützen?

Die updates von Apple sind raus - installiert die und man ist sicher. Bis zum nächsten Bug ;-)

Grundsätzlich sollte man eigentlich nichts "wichtiges" wie Homebanking oder so in einem ungesicherten oder öffentlichen Netzwerk machen, wenn man es vermeiden kann. Ich weiß nie, was da evtl. für Gesindel "horcht". Und theoretisch ist SSL sehr wohl knackbar...

erstellt Stephan Bösebeck (stephan)