Sergey Nivens - Fotolia

Sicherheitslücke für iOS-Apps in der AFNetworking Bibliothek bekämpfen

Sicherheitsmängel in der Code-Bibliothek von AFNetworking bedrohen die Sicherheit von iOS-Apps. So verhindern Sie, ein Opfer dieser Mängel zu werden.

Die AFNetworking Code-Bibliothek ist eine der beliebtesten Open-Source-Frameworks für die Entwicklung von iOS- und OS-X-Apps. Das Framework wird von App-Entwicklern verwendet, um die Entwicklungszeit zu verkürzen. Hierfür übernimmt es komplexe Netzwerkaufgaben, die moderne Apps für eine entsprechende Performance benötigen.

Leider wurde im März 2015 ein logischer Fehler in einem GitHub Repository in den Versionen 2.1.0 bis 2.5.2 festgestellt. Jeder Entwickler, der seine App mit einer dieser Versionen aktualisiert hat, war beziehungsweise ist von der Sicherheitslücke betroffen. Das Security-Unternehmen Minded Security, das die Sicherheitslücke entdeckte, ging bei bekannt werden der Schwachstelle davon aus, dass bis zu 25.000 iOS-Apps im App Store von Apple betroffen sind.

Die Sicherheitslücke ermöglicht Angreifern eine SSL Man-in-the-Middle-Attacke, um gesendete oder empfangene Daten einer betroffenen App zu stehlen, bei denen die Nutzer von einer sicheren Verschlüsselung ausgehen. Obwohl die AFNetworking Bibliothek überprüft, ob ein digitales Webserver-Zertifikat durch ein geprüfte Zertifizierungsstelle ausgestellt wurde, verifiziert es nicht standardmäßig, ob der angefragte Domänenname mit dem Domänenname in dem Zertifikat übereinstimmt.

Das bedeutet, solange ein Angreifer ein valides SSL-Zertifikat einer vertrauenswürdigen Zertifizierungsstelle nutzt, kann er eine SSL-Sitzung ausspionieren oder modifizieren, die von einer betroffenen App initiiert wurde. Zum Beispiel könnte sich ein Angreifer als Apple.com ausgeben, indem er ein gültiges Zertifikat verwendet.

Dieser Fehler wurde in Version 2.5.3 behoben. Entwickler, die die AFNetworking Bibliothek nutzen, sollten sicherstellen, dass ihre App diese oder eine neuere Version verwendet. Eine schnelle Lösung für Entwickler ist es, validatesDomainName auf „YES“ zu setzen – dies ab Version 2.5.3 standardmäßig eingestellt.

Das Hinzufügen eines Zertifikatanhangs würde ebenfalls verhindern, dass der Angriff funktioniert. SourceDNA bietet ein kostenloses Suchtool an, das Entwickler und Anwender zur Überprüfung einsetzen können, ob ihre App eine Sicherheitslücke hat.

Als Alternative zur AFNetworking Bibliothek lässt sich die Alamofire HTTP Netzwerk-Bibliothek verwenden. Entwickler, die keine Frameworks von Drittanbietern einsetzen möchten, können die Framework-Klassen NSURLConnection und NSURLSession von Apple nutzen, um mit Servern zu kommunizieren, die Standard-Internet-Protokolle verwenden.

Entwickler sollten immer die relevanten Mailing-Listen ihrer Drittanbieterbibliotheken im Auge behalten, um sicherzustellen, dass sie über iOS-App-Sicherheitsprobleme informiert sind. Schwachstellen in Open-Source-Komponenten, -Frameworks und -Bibliotheken werden schnell von Hackern ausgenutzt, da sie automatisierte Angriffe auf Apps ausführen, bei denen sie eine Schwachstelle kennen.

Mehr zum Thema Mobile Security:

Kostenloses E-Handbook: Mobile Security in der Praxis.

Kaspersky Security Bulletin: 58 Prozent aller Unternehmensrechner angegriffen.

App-Berechtigungen in Android 6.0 – ein Security-Vorteil für Unternehmen?

XcodeGhost: Wer ist von den mit Malware verseuchten iOS-Apps betroffen?

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close