Sicherheit
SSL-Patch für iPhones mit Jailbreak
von
Thorsten
Eggeling - 22.08.2011
Ende Juli hat Apple eine SSL-Sicherheitslücke mit dem Update auf iOS 4.3.5 geschlossen. Jedoch gibt es für ältere Versionen immer noch keinen Jailbreak. Der SSL-Patch lässt sich jetzt aber auch bei iOS 4.3.4 und kleiner nachrüsten.
Eine Schwachstelle in iOS 4.3.4 ermöglicht Angreifern über eine „man-in-the-middle“-Attacke den per SSL verschlüsselten Datenverkehr zu belauschen und zu verändern. Apple hat die Sicherheitslücke Ende Juli 2011 mit iOS 4.3.5 beseitigt. Allerdings existiert für diese Version noch kein voll funktionstüchtiger Jailbreak.
Für alle, die das Update auf iOS 4.3.5 daher bisher nicht durchführen könnten, gibt es jetzt eine Lösung. Ein über Cydia-Search angebotenes Update mit Namen iSSLFix schließt die Sicherheitslücke und schützt das iPhone vor manipulierten Zertifikaten. Es setzt außerdem einige gestohlene Zertifikate des Dienstanbieters Comodo auf die Blacklist. Das ist allerdings nur für Anwender von iOS mit einer Versionsnummer kleiner 4.3.2 interessant. Den bei den höheren Versionen hat Apple die Blacklist bereits selbst ergänzt.
Wer iOS-Geräte mit Jailbreaks nutzt, sollte außerdem den PDF Patcher 2 installieren. Damit kann der Nutzer eine kritische Sicherheitslücke in der Bibliothek FreeType schließen. Sonst besteht die Gefahr, dass das Apple-Gerät beim Besuch einer Webseite mit Schadcode infiziert wird.
Test des iSSLFix-Patches
Wie der neue Patch wirkt, kann man auf der Testseite von Recurity herausfinden. Wenn Safari beim Öffnen der Seite eine Warnmeldung ausgibt, hat der Browser festgestellt, dass es sich um ein manipuliertes Zertifikat handelt. Andernfalls ist das Gerät weiter gefährdet.
Wie der neue Patch wirkt, kann man auf der Testseite von Recurity herausfinden. Wenn Safari beim Öffnen der Seite eine Warnmeldung ausgibt, hat der Browser festgestellt, dass es sich um ein manipuliertes Zertifikat handelt. Andernfalls ist das Gerät weiter gefährdet.
