Encryption Test: Webseite demonstriert iOS-Schwachstelle

Solltet ihr die am 25. Juli ausgegebene iOS-Aktualisierung auf Version 4.3.5 bislang noch nicht installiert haben, könnt ihr euch die von Apple mit der letzten Aktualisierung geschlossene Sicherheitslücke jetzt Live demonstrieren lassen.

Gregor Kopf, Security-Spezialist bei Recurity stellt den unspektakulären aber ernsten Angriff auf https://issl.recurity.com/ vor demonstriert so das Mögliche. In der alten iOS-Version können Angreifer eine SSL-gesicherte Webseite vortäuschen und das iPhone so zur Darstellung des Safari-Vorhängeschlosses überreden. Ein Symbol das normalerweise auf die verschlüsselte Web-Kommunikation hinweist.

To test whether your iOS version is vulnerable, Recurity Labs has set up a Web site: https://issl.recurity.com/. If the Safari browser on your iDevice allows you to visit this site without issuing a warning, your device is vulnerable. The certificate for this site was created using the above described technique. Please feel free to validate this by inspecting the certificate that the HTTP server supplies to you.

via h-online