Zweiter kryptografischer Bug in Netzbibliothek könnte 25.000 Apps betreffen

Einige Wochen nachdem die Entwickler der Bibliothek AFNetworking, die unter Autoren von Apps für iOS und OS X sehr beliebt ist, einen ernsthaften Bug in ihrem Produkt gepatcht hatten, der die Durchführung von Man-in-the-Middle-Attacken ermöglichte, kam ein anderer, ähnlicher Fehler in der Bibliothek zum Vorschein.

Die neue Sicherheitslücke hängt mit der Methode zusammen, mit der die Bibliothek AFNetworking die Validierung des Domainnamens für Zertifikate durchführt. Wie sich zeigte, gibt es in der Bibliothek eine Flageinstellung, die die die Domainvalidierung standardmäßig deaktiviert, was bedeutet, dass ein Cyberkrimineller einer App, die diese Sicherheitslücke enthält, ein beliebiges gültiges Zertifikat vorzeigen kann, und die App wird es akzeptieren. Die Forscher von SourceDNA erklärten, dass die Sicherheitslücke äußerst kritisch ist, da sie in mobilen Anwendungen enthalten ist.

„Das bedeutet, dass ein Angreifer im Internet-Café private Daten abfangen oder die Kontrolle über jede SSL-Session zwischen einer App und dem Internet erhalten kann. Da der Domainname nicht überprüft wird, ist alles, was benötigt wird, ein gültiges SSL-Zertifikat für einen beliebigen Webserver – etwas, was man sich für 50 Dollar kaufen kann“, schreibt das Unternehmen in seinem Blog.

Die Schwachstelle tauchte nur einen Tag später auf, nachdem eine andere kritische Sicherheitslücke in AFNetworking beschrieben und beseitigt worden war. Der vorangegangene Bug ist dem neuen seiner Natur nach sehr ähnlich und er hängt damit zusammen, dass die Bibliothek selbstsignierte Zertifikate akzeptiert. Der neue Fehler befindet sich im selben Codeabschnitt und könnte um die 25.000 Apps betreffen.

„Wir haben nicht erwartet, diesen Bug in der Version 2.5.2 zu finden, und zwar erst recht nicht, da wir dieses Problem, das bereits beschrieben und beseitigt worden war, einen Tag , nachdem die vorangegangene SSL-Sicherheitslücke geschlossen worden war, bemerkten, doch anscheinend ist niemandem aufgefallen, dass sie in der Version 2.5.2 vergessen wurde“, heißt es in einer Erklärung von SourceDNA.

SourceDNA wurde von dem Kryptographen Nate Lawson gegründet, der über einen reichen Erfahrungsschatz im Aufspüren von kryptografischen Problemen verfügt. Das Unternehmen empfiehlt den Entwicklern von angreifbaren Apps, das Zertifikats- oder Key-Pinning zu aktivieren, was vor Attacken unter Verwendung dieser Bugs schützt.

Die neue Sicherheitslücke in der Bibliothek AFNetworking wurde in der Version 2.5.3 beseitigt.

Quelle:         Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.