News

Zweiter kryptografischer Bug in Netzbibliothek könnte 25.000 Apps betreffen

Einige Wochen nachdem die Entwickler der Bibliothek AFNetworking, die unter Autoren von Apps für iOS und OS X sehr beliebt ist, einen ernsthaften Bug in ihrem Produkt gepatcht hatten, der die Durchführung von Man-in-the-Middle-Attacken ermöglichte, kam ein anderer, ähnlicher Fehler in der Bibliothek zum Vorschein.

Die neue Sicherheitslücke hängt mit der Methode zusammen, mit der die Bibliothek AFNetworking die Validierung des Domainnamens für Zertifikate durchführt. Wie sich zeigte, gibt es in der Bibliothek eine Flageinstellung, die die die Domainvalidierung standardmäßig deaktiviert, was bedeutet, dass ein Cyberkrimineller einer App, die diese Sicherheitslücke enthält, ein beliebiges gültiges Zertifikat vorzeigen kann, und die App wird es akzeptieren. Die Forscher von SourceDNA erklärten, dass die Sicherheitslücke äußerst kritisch ist, da sie in mobilen Anwendungen enthalten ist.

„Das bedeutet, dass ein Angreifer im Internet-Café private Daten abfangen oder die Kontrolle über jede SSL-Session zwischen einer App und dem Internet erhalten kann. Da der Domainname nicht überprüft wird, ist alles, was benötigt wird, ein gültiges SSL-Zertifikat für einen beliebigen Webserver – etwas, was man sich für 50 Dollar kaufen kann“, schreibt das Unternehmen in seinem Blog.

Die Schwachstelle tauchte nur einen Tag später auf, nachdem eine andere kritische Sicherheitslücke in AFNetworking beschrieben und beseitigt worden war. Der vorangegangene Bug ist dem neuen seiner Natur nach sehr ähnlich und er hängt damit zusammen, dass die Bibliothek selbstsignierte Zertifikate akzeptiert. Der neue Fehler befindet sich im selben Codeabschnitt und könnte um die 25.000 Apps betreffen.

„Wir haben nicht erwartet, diesen Bug in der Version 2.5.2 zu finden, und zwar erst recht nicht, da wir dieses Problem, das bereits beschrieben und beseitigt worden war, einen Tag , nachdem die vorangegangene SSL-Sicherheitslücke geschlossen worden war, bemerkten, doch anscheinend ist niemandem aufgefallen, dass sie in der Version 2.5.2 vergessen wurde“, heißt es in einer Erklärung von SourceDNA.

SourceDNA wurde von dem Kryptographen Nate Lawson gegründet, der über einen reichen Erfahrungsschatz im Aufspüren von kryptografischen Problemen verfügt. Das Unternehmen empfiehlt den Entwicklern von angreifbaren Apps, das Zertifikats- oder Key-Pinning zu aktivieren, was vor Attacken unter Verwendung dieser Bugs schützt.

Die neue Sicherheitslücke in der Bibliothek AFNetworking wurde in der Version 2.5.3 beseitigt.

Quelle:         Threatpost

Zweiter kryptografischer Bug in Netzbibliothek könnte 25.000 Apps betreffen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach