Gefälschte iPhone-Zertifikate bieten potenziellen Angriffspunkt

3. Februar 2010 – 17:21 Uhr

Letzten Freitag tauchte in dem anonym geführten WordPress-Blog Cryptopath eine Anleitung zum Überlisten von iPhone-Zertifikaten auf. The Register nimmt sich (unter anderem) der Beschreibung für die ‚Sicherheitslücke‘ in ihrem Artikel „iPhone vulnerable to remote attack on SSL“ an.

Ein potenzieller ‚Angriff‘ setzt dabei voraus, dass ein iPhone-Benutzer auf seinem Gerät eine E-Mail-Anlage öffnet oder von einer entsprechenden Webseite eine Konfigurations-Datei herunterlädt und dieses Zertifikat explizit akzeptiert. Die Konfigurationsprofile (Einstellungen -> Allgemein -> Profile) haben seit Firmware 3.0 im Zusammenhang mit der Tethering-Option Bekanntheit erlangt. Entwickler signieren mit den Bereitstellungsprofilen schon seit Firmware 2.0 Developer- und Test-Geräte.

Charlie Miller, Sicherheitsexperte bei Independent Security Evaluators, zeigt mögliche Folgen einer solchen Attacke auf. Schadhafter Programm-Code kann durch diesen Angriff nicht ausgeführt werden. Miller verifizierte, dass das Starten von beliebiger iPhone-Software mit diesen gewandelten Zugriffsrechten unterbunden werden kann. Nicht bestätigen konnte er, das der vom iPhone ausgeführte Webverkehr über einen eigenen Proxy umgeleitet und abgehört wird.

Die Bereitstellung von Zertifikaten ‚over-the-air‘ wurden mit Firmware 3.0 eingeführt und soll beispielsweise in Unternehmen den administrativen (Konfigurations-)Aufwand vereinfachen. Zertifikate, die über eine USB-Verbindung auf das iPhone gelangen, wird standardmäßig vertraut. Bei einem kabellosen Transfer per E-Mail oder Web-Download gilt die Standardeinstellung ’nicht vertrauenswürdig‘. Trotzdem lassen sich relativ leicht ‚verifizierte‘ Zertifikate erstellen, indem man eine von 224 offiziellen Quellen kontaktiert, die Apple auf seiner Supportseite aufführt.

It is relatively easy to obtain a signature certificate from many of them without any sort of verification. A demo signature certificate can be obtained from Verisign without need for anything other than a valid e-mail address (throwaway addresses work, too) for sixty days at no price and without providing any credit card details.

Was kann getan werden?

Nach Aussage des Blogbetreibers Cryptopath besteht kein Grund, das iPhone- und iPod touch-Benutzer Root-Zertifikate kabellos empfangen und installieren können.

Apple needs to define who should be able to download mobileconfig files onto a device, be it an end-user or a company, and devise a correct way to share keys between the device and its associated provisioning server.

Auf iPhoneBlog-Nachfrage ist diese Definition auch im neusten Firmware-Update 3.1.3 nicht durchgeführt worden, was einen potenziellen Angriff – bei zugegebenermaßen sehr fahrlässiger Benutzerinteraktion – weiter möglich macht.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Benutzerdefiniert
Anbieter	Memberful
Zweck	Our membership system is managed by Memberful.com. Certain cookies from memberful.com will be added to your computer if you become a member of iPhoneBlog #one.
Datenschutzerklärung	https://memberful.com/cookie-policy/
Host(s)	memberful.com
Cookie Name	Membership
Cookie Laufzeit	365

Name	Benutzerdefiniert
Anbieter	VG Wort
Zweck	Das Cookie der VG Wort hilft die Kopierwahrscheinlichkeit unserer Texte zu ermitteln und stellt die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen sicher. IP-Adressen werden nur in anonymisierter Form verarbeitet.
Datenschutzerklärung	https://www.vgwort.de/hilfsseiten/datenschutz.html
Host(s)	*vgwort.de
Cookie Name	srp
Cookie Laufzeit	Sitzung

Akzeptieren	Vimeo
Name	Vimeo
Anbieter	Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA
Zweck	Wird verwendet, um Vimeo-Inhalte zu entsperren.
Datenschutzerklärung	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie Name	vuid
Cookie Laufzeit	2 Jahre