Bankwebsites, Onlineshops, Webmailanbieter – sie alle benutzen verschlüsselte Verbindungen, um den Datenaustausch vor Dritten zu schützen, seien es Hacker oder Geheimdienste. Vergangenen Freitag ist bekannt geworden, dass Apples Implementation des Web-Verschlüsselungsstandards SSL in aktuellen OS X- und iOS-Versionen unsicher ist.

Ein Bug ermöglicht es Hackern, sich in vermeintlich sichere SSL-Verbindungen einzuklinken und deren Inhalt auszulesen und zu manipulieren. Dazu müssen sich die Angreifer und der Betroffene allerdings im selben lokalen Netzwerk befinden, also etwa mit dem selben WLAN-Router verbunden sein. Ein plausibles Angriffsszenario wäre etwa die Ausforschung von Kreditkartendaten und Passwörtern in einem öffentlichen WLAN am Flughafen oder in einem Café. Von der Überwachung würde der Nutzer nichts merken.

Apple hat einen Patch, also ein Software-Update, für sein Mobilbetriebssystem iOS veröffentlicht. Die Sicherheitslücke ist so gravierend, dass es nicht nur für das aktuelle iOS 7, sondern auch für die ältere Version iOS 6 zur Verfügung steht. Das Update kann unter Einstellungen – Allgemein – Softwareaktualisierung heruntergeladen werden.

Während Apples Mobilgeräte und selbst das stationäre Apple TV gepatcht wurden, ist die SSL-Lücke in Apples aktuellem Mac-Betriebssystem OS X 10.9 noch offen. Das deutsche Sicherheitsunternehmen SektionEins bietet einen inoffiziellen Patch an, der auf eigenes Risiko eingespielt werden kann. Dieser richtet sich allerdings an erfahrene Nutzer; weniger risikofreudige Anwender sollten das offizielle Apple-Update abwarten. Eine Apple-Pressesprecherin sagte Reuters, das Unternehmen werde schon "sehr bald" ein Update für OS X zur Verfügung stellen.

Nutzer sollten Apples Safari-Browser vorerst meiden

Bis dahin empfiehlt es sich, auf Apples Safari-Browser zu verzichten und auf Alternativen auszuweichen. Mozilla Firefox und Google Chrome verfügen über eigene SSL-Bibiliotheken und sind von dem Fehler nicht betroffen. 

Doch auch wer auf Safari verzichtet, ist gefährdet. Der Sicherheitsforscher Ashkan Soltani hat herausgefunden, dass neben Safari eine Reihe von Apple-eigenen Programmen von der Lücke betroffen ist, etwa Apple Mail, Messages, iBooks und Software Update. Auch die offizielle Twitter-App ist betroffen, weil sie ebenfalls Apples SSL-Implementierung Secure Transport benutzt. Selbst bei VPN-Einsatz könnte die Lücke bestehen, schreibt Soltani.

Wer wissen will, ob er von der SSL-Lücke betroffen ist, kann das auf gotofail.com überprüfen. Der Name bezieht sich auf die doppelte Gotofail-Zeile im Apples SSL-Quellcode – eine überflüssige Dopplung, die den Bug erst ermöglicht.