Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitslücke: Apples furchtbarer Fehler

Von

Apple-Software: Probleme bei gesicherten Verbindungen Fotos
SPIEGEL ONLINE

Ob Onlinebanking oder Facebook-Login, nichts ist sicher: Ein schwerer Fehler gefährdet Nutzer von iPhones, iPads und Mac-Rechnern. Verschlüsselte Web-Verbindungen lassen sich abfangen und manipulieren.

Der Fehler ist schlicht, offensichtlich und verheerend. Er steckt in einer Funktion, mit der Apple-Geräte eigentlich sicherstellen sollen, dass der Schlüssel für eine gesicherte Verbindung auch wirklich von der richtigen Gegenseite stammt. Durch den Fehler entfällt die Prüfung und es wird einfach jeder Schlüssel akzeptiert - ein Einfallstor für Hacker und Geheimdienste.

Die können sich gegenüber den Nutzern als Onlinebank oder Facebook ausgeben und Daten mitlesen. Verschlüsselt ist die Verbindung trotzdem, zu erkennen an dem "https" links oben in der Adresszeile des Browsers. Dass etwas nicht stimmt und der verwendete Schlüssel nicht zur Website passt, merken die Apple-Geräte nicht. Es ist schlimm. Wirklich schlimm", kommentierte Kryptografieexperte Matthew Green den Fehler.

Am Freitag hat Apple ein Update für Nutzer des aktuellen mobilen Betriebssystems iOS 7 und für die Nutzer der Vorgängerversion zur Verfügung gestellt. Nutzer sollten umgehend das Update durchführen und bis dahin in öffentlichen Netzen - zum Beispiel im W-Lan eines Cafés oder Flughafen - nicht auf "https"-Verbindungen vertrauen und Passwörter eingeben.

Doppeltes "goto fail;"

Mac-Nutzer, die auch von der Sicherheitslücke betroffen sind, müssen noch warten. Eine Apple-Sprecherin sagte der Nachrichtenagentur Reuters: "Wir kennen das Problem und arbeiten bereits an einem Software-Fix, den wir sehr bald veröffentlichen." Firefox und der Chrome-Browser von Google sind von dem Problem nicht betroffen. Trotzdem ist nicht nur in Gefahr, wer auf dem Mac mit Safari surft. Auch andere Programme können die fehlerhafte Funktion nutzen.

Was genau Apple bei der Umsetzung der SSL/TLS genannten Technik falsch gemacht hat, erklärte Google-Mitarbeiter Adam Langley in seinem Blog. Den Code für den Schlüsselaustausch hat Apple selbst veröffentlicht. In den 1970 Zeilen wartete die Bombe darauf, entdeckt zu werden: Ein doppelter Sprungbefehl - "goto fail;" -, durch den der Sicherheitscheck ausgehebelt wird.

Wie lange der Fehler dort schon auftaucht, ist noch unklar. Ebenso, ob die Sicherheitslücke bereits von Angreifern ausgenutzt wird. Spätestens jetzt ist klar, dass Millionen Nutzer mit sogenannten Man-in-the-Middle-Attacken angegriffen werden können - und der Wettlauf gegen kriminelle Hacker hat begonnen. Apple-Nutzer müssen Updates aufspielen, das Unternehmen ein Update für Mac-Nutzer bereitstellen.

Apple-Nutzer können auf dieser Seite herausfinden, ob ihr Browser von der Sicherheitslücke betroffen ist. Achtung: Der dort aktuell verlinkte Patch für Mac OS wird nicht von Apple selbst zur Verfügung gestellt und sollte nur von Experten genutzt werden.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 264 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
chavezding 23.02.2014
Selbst Schuld, wer im öffentlichen WLAN Online Banking betreibt...
2. aber uns alten 68er Säcken glaubt ja keiner was
Wladimir_M_B 23.02.2014
Go To Statement Considered Harmful Edsger W. Dijkstra. Communications of the ACM, Vol. 11, No. 3, March 1968, pp. 147-148. R.S.
3. Curly Braces
jensrenner 23.02.2014
Copy/Paste-Fehler kommen vor (so es einer war). Aber würde man bei if-Statements den konditionalen Code-Block konsequent klammern, wäre der Fehler vermutlich nicht entstanden. Zumindest hätte man ihn auf den ersten Blick erkannt.
4. Wo...?
dfuchs 23.02.2014
Wo soll es einen Patch für iOs 5 und 6 geben? Lt. Gotofail.com bin ich sicher, ging das dann von selbst? Wäre mir neu...
5. Der Fehler ist
dykker 23.02.2014
fehlende Klammerung weil in dem Konstrukt nur das erste 'goto fail' von der Bedingung abhängt und das Zweite bedingungslos, also immer, ausgeführt wird. Ich empfehle immer nach IF mit geschweiften Klammern, JAVA/C/C++, oder BEGIN/END, Pascal oder Pl/SQL Blöcke zu bilden. Dadurch werden solche Fehler sichtbar. Auch das Dienstkommando LINT kann solche Quelltexte automatisch absuchen und würde herausfinden, daß der Code nach dem zweiten GOTO nicht ausgeführt werden würde. Der Fehler gehört zu der Sorte absolut unverzeihlich und extremer Anfängerfehler, dem kein Profi aufsitzen würde!
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
iPad2: Apples schlankes Rechentableau


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: