Eine Schwachstelle in iOS 4.3.4 ermöglicht Angreifern über eine
„man-in-the-middle“-Attacke den per SSL verschlüsselten Datenverkehr zu belauschen und zu verändern. Apple hat die Sicherheitslücke Ende Juli 2011 mit iOS 4.3.5 beseitigt. Allerdings existiert für diese Version noch kein voll funktionstüchtiger Jailbreak.
Für alle, die das Update auf iOS 4.3.5 daher bisher nicht durchführen könnten, gibt es jetzt eine Lösung. Ein über Cydia-Search angebotenes Update mit Namen
iSSLFix schließt die Sicherheitslücke und schützt das iPhone vor manipulierten Zertifikaten. Es setzt außerdem einige gestohlene Zertifikate des Dienstanbieters Comodo auf die Blacklist. Das ist allerdings nur für Anwender von iOS mit einer Versionsnummer kleiner 4.3.2 interessant. Den bei den höheren Versionen hat Apple die Blacklist bereits selbst ergänzt.
Wer iOS-Geräte mit Jailbreaks nutzt, sollte außerdem den
PDF Patcher 2 installieren. Damit kann der Nutzer eine kritische Sicherheitslücke in der Bibliothek FreeType schließen. Sonst besteht die Gefahr, dass das Apple-Gerät beim Besuch einer Webseite mit Schadcode infiziert wird.
Test des iSSLFix-Patches Wie der neue Patch wirkt, kann man auf der
Testseite von Recurity herausfinden. Wenn Safari beim Öffnen der Seite eine Warnmeldung ausgibt, hat der Browser festgestellt, dass es sich um ein manipuliertes Zertifikat handelt. Andernfalls ist das Gerät weiter gefährdet.