22.08.2011
Sicherheit
SSL-Patch für iPhones mit Jailbreak
Autor: Thorsten Eggeling
Ende Juli hat Apple eine SSL-Sicherheitslücke mit dem Update auf iOS 4.3.5 geschlossen. Jedoch gibt es für ältere Versionen immer noch keinen Jailbreak. Der SSL-Patch lässt sich jetzt aber auch bei iOS 4.3.4 und kleiner nachrüsten.
Eine Schwachstelle in iOS 4.3.4 ermöglicht Angreifern über eine „man-in-the-middle“-Attacke den per SSL verschlüsselten Datenverkehr zu belauschen und zu verändern. Apple hat die Sicherheitslücke Ende Juli 2011 mit iOS 4.3.5 beseitigt. Allerdings existiert für diese Version noch kein voll funktionstüchtiger Jailbreak.
Für alle, die das Update auf iOS 4.3.5 daher bisher nicht durchführen könnten, gibt es jetzt eine Lösung. Ein über Cydia-Search angebotenes Update mit Namen iSSLFix schließt die Sicherheitslücke und schützt das iPhone vor manipulierten Zertifikaten. Es setzt außerdem einige gestohlene Zertifikate des Dienstanbieters Comodo auf die Blacklist. Das ist allerdings nur für Anwender von iOS mit einer Versionsnummer kleiner 4.3.2 interessant. Den bei den höheren Versionen hat Apple die Blacklist bereits selbst ergänzt.
Wer iOS-Geräte mit Jailbreaks nutzt, sollte außerdem den PDF Patcher 2 installieren. Damit kann der Nutzer eine kritische Sicherheitslücke in der Bibliothek FreeType schließen. Sonst besteht die Gefahr, dass das Apple-Gerät beim Besuch einer Webseite mit Schadcode infiziert wird.
Test des iSSLFix-Patches
Wie der neue Patch wirkt, kann man auf der Testseite von Recurity herausfinden. Wenn Safari beim Öffnen der Seite eine Warnmeldung ausgibt, hat der Browser festgestellt, dass es sich um ein manipuliertes Zertifikat handelt. Andernfalls ist das Gerät weiter gefährdet.
Wie der neue Patch wirkt, kann man auf der Testseite von Recurity herausfinden. Wenn Safari beim Öffnen der Seite eine Warnmeldung ausgibt, hat der Browser festgestellt, dass es sich um ein manipuliertes Zertifikat handelt. Andernfalls ist das Gerät weiter gefährdet.
Drei Modelle
Huawei bringt die Pura-70-Serie nach Deutschland
Bei Huawei löst die Pura-Serie die P-Modelle in der Smartphone-Oberklasse ab. Nach dem Debüt in China hat der Hersteller jetzt auch die Preise und das Startdatum für den deutschen Markt genannt.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
EU-Entscheidung
Apple muss auch das iPad für alternative App-Stores öffnen
Nachdem die EU-Kommission bereits die Öffnung der iPhones für alternative Anbieter von App-Stores erzwungen hat, muss Apple dies nun auch auf dem iPad ermöglichen.
>>