Sicherheits-Update im App Store merzt fünf mögliche Angriffe auf iTunes-Kunden und Konten aus
Apples iTunes Store kommuniziert zukünftig nur noch via HTTPS mit allen Kunden, die das Software-Kaufhaus über iPhone, iPad oder iTunes besuchen. Die Umstellung, die Apple in dem Knowledge-Base Artikel mit der Kennziffer HT1318 beschrieben hat, unterbindet gleich fünf unterschiedliche Angriffs-Szenarien.
Mit dem Wechsel hin zum komplett verschlüsselten Datenaustausch reagiert Apple auf die Erkenntnisse des Google-Mitarbeiters und Security-Experten Elie Bursztein. Dieser hatte die Sicherheitslücken bereits im juli 2012 gemeldet und beschreibt die potentiell gefährlichen Attacken in seinem Blog elie.im.
Die Tatasche, dass der Traffic zwischen den Endgeräten und dem iTunes Store bislang unverschlüsselt übertragen wurde, ermöglichte sogenannte Man-In-The-Middle Angriffe auf iTunes-Nutzer.
Kaufte man neue iOS-Anwendungen etwa über das offene W-Lan des Nachbarn ein, hätte dieser nicht nur das Passwort auslesen, sondern auch die zum Kauf vorgesehene Applikation durch eine andere ersetzen können.
(Direkt-Link)
Bursztein beschreibt die nun nicht mehr möglichen Angriffe stichpunktartig:
- Passwortklau: Mit einerm falschen Eingabefenster wäre es dem Betreiber des offenen W-Lans möglich gewesen das Nutzer-Passwort nach dem Start der App Store-App abzufangen
- App Autausch: Hat sich der Nutzer zum Kauf einer App entschieden, hätte der W-Lan Betreiber diese durch eine andere App austauschen und den Nutzer so zum Download einer kostenpflichtigen Anwendung auch dann „zwingen“ können, wenn eine Kostenlose gewählt wurde.
- Falsche App-Updates: Updates hätten manipuliert und auch dann angezeigt werden können, wenn kein Update zum Download bereit stand.
- Verhinderung neuer App-Installationen: Die Installation ausgewählter Anwendungen hätte vom W-Lan Betreiber unterbunden werden können.
- Daten-Abgriff: Der W-Lan Betreiber hätte bei Update-Anfragen alle bereits auf dem Gerät installierten Apps auslesen können.
Wow, das ging flott!
Stimmt, da haben sie aber sehr schnell reagiert!
Naja war ja ich höchste Zeit…. Warum nicht gleich so Apple ?
Besser spät als nie!
Hoffe es wird nicht noch langsamer. Dauert 5-8 sekunden, bis die charts angezeigt werden. Das war früher deutlich schneller.
Sei froh dass sie überhaupt angezeigt werden. Bei mir weden sie seit ca. Nem Monat nicht mehr angezeigt. Da kam und kommt einfach von heute auf morgen ein newNullRequest Error. Suchen geht aber noch. -.-
Hatte ich auch nach ne restore der sowieso nötig war gings dann wieder perfekt :)
Bin etwas schockiert, da ich bisher davon ausging, dass das ohnehin nur per SSL bzw. https gehen würde.
geht mir auch so
Die Verbindung mit dem Accountserver für Einkäufe und dergleichen war schon immer verschlüsselt. Es geht hier lediglich um die Massendaten wie die statischen Inhalte des AppStore und iTunes Store. Das ist kein Sicherheitsrisiko beim Abhören der Verbindung, lediglich wenn Daten via MITM modifiziert werden und die Nutzer auf diese Weise Ihr Kennwort an falscher Stelle eingeben.
Man genau wurde das umgestellt? Vielleicht hängt das ja mit meinem Problem am AppleTV zusammen wo seit letztem Donnerstag nur noch „Verbindung zum iTunes Store“ mit dem Ladekreis auftaucht wenn ich zum Beispiel die Podcast App öffne. Einzig iTunes Match funktioniert wobei da das Apple TV auch explizit angibt das es eine Verbindung mit der iCloud herstellt und nicht mit dem iTs
Wow, endlich ein amazing Feature welches auf der nächsten iOS Vorstellung bestimmt extra hervorgehoben wird xD traurig das Apple erst von google(’s mitarbeiter) darauf hingewiesen werden muss…
Komm machs maul zu und wechsel das forum…
Aber recht hat der kleine pirat.
Well, that escalated quickly.
sprach der Esel und wieherte
Man nähert sich Android an. Oh man Apple, Blackberry wird euch ganz schön in den Schatten stellen.