iPhoneBlog.de iPhoneBlog.de
van Alex Olma
3. Februar 2010 – 17:21 Uhr

Gefälschte iPhone-Zertifikate bieten potenziellen Angriffspunkt

iPhone certificate.jpg

Letzten Freitag tauchte in dem anonym geführten WordPress-Blog Cryptopath eine Anleitung zum Überlisten von iPhone-Zertifikaten auf. The Register nimmt sich (unter anderem) der Beschreibung für die ‚Sicherheitslücke‘ in ihrem Artikel „iPhone vulnerable to remote attack on SSL“ an.

Ein potenzieller ‚Angriff‘ setzt dabei voraus, dass ein iPhone-Benutzer auf seinem Gerät eine E-Mail-Anlage öffnet oder von einer entsprechenden Webseite eine Konfigurations-Datei herunterlädt und dieses Zertifikat explizit akzeptiert. Die Konfigurationsprofile (Einstellungen -> Allgemein -> Profile) haben seit Firmware 3.0 im Zusammenhang mit der Tethering-Option Bekanntheit erlangt. Entwickler signieren mit den Bereitstellungsprofilen schon seit Firmware 2.0 Developer- und Test-Geräte.

Charlie Miller, Sicherheitsexperte bei Independent Security Evaluators, zeigt mögliche Folgen einer solchen Attacke auf. Schadhafter Programm-Code kann durch diesen Angriff nicht ausgeführt werden. Miller verifizierte, dass das Starten von beliebiger iPhone-Software mit diesen gewandelten Zugriffsrechten unterbunden werden kann. Nicht bestätigen konnte er, das der vom iPhone ausgeführte Webverkehr über einen eigenen Proxy umgeleitet und abgehört wird.

Die Bereitstellung von Zertifikaten ‚over-the-air‘ wurden mit Firmware 3.0 eingeführt und soll beispielsweise in Unternehmen den administrativen (Konfigurations-)Aufwand vereinfachen. Zertifikate, die über eine USB-Verbindung auf das iPhone gelangen, wird standardmäßig vertraut. Bei einem kabellosen Transfer per E-Mail oder Web-Download gilt die Standardeinstellung ’nicht vertrauenswürdig‘. Trotzdem lassen sich relativ leicht ‚verifizierte‘ Zertifikate erstellen, indem man eine von 224 offiziellen Quellen kontaktiert, die Apple auf seiner Supportseite aufführt.

It is relatively easy to obtain a signature certificate from many of them without any sort of verification. A demo signature certificate can be obtained from Verisign without need for anything other than a valid e-mail address (throwaway addresses work, too) for sixty days at no price and without providing any credit card details.

Was kann getan werden?

Nach Aussage des Blogbetreibers Cryptopath besteht kein Grund, das iPhone- und iPod touch-Benutzer Root-Zertifikate kabellos empfangen und installieren können.

Apple needs to define who should be able to download mobileconfig files onto a device, be it an end-user or a company, and devise a correct way to share keys between the device and its associated provisioning server.

Auf iPhoneBlog-Nachfrage ist diese Definition auch im neusten Firmware-Update 3.1.3 nicht durchgeführt worden, was einen potenziellen Angriff – bei zugegebenermaßen sehr fahrlässiger Benutzerinteraktion – weiter möglich macht.

Social

Abonnement

iPhoneBlog #one präsentiert wöchentlich neue Videos über App-Store-Apps und einen täglichen Ideenaustausch im privaten Slack-Kanal. Noch nicht dabei? Werde Abonnent.

Du hast schon einen Account? Login.

Support

App Store

Wer eine beliebige iPhone-App im App Store über diesen Link kauft, seinen Mac mit Software aus dem Mac App Store bestückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Archiv

Gastfreundschaften