Apfelnews Apple News Blog, iPhone, iPad, Mac & vieles mehr
Der Zahlungsdienstleister PayPal hat seiner iPhone-App ein Bugfix-Update verordnet und damit eine kritische Sicherheitslücke in der Anwendung geschlossen.
Angreifern war es aufgrund der Lücke möglich, trotz Verschlüsselung die Log-in-Daten von Benutzern abzufangen. Eine fehlerhafte Prüfung des SSL/TLS-Zertifikates in der App zeigt sich dafür verantwortlich, dass ein Angreifer sich mittels einer sogenannten Man-in-the-Middle-Attacke zwischen PayPal und Kunden einklinken und die Daten im Klartext mitverfolgen konnte.
Laut einer Sprecherin von PayPal funktionierte dies allerdings nur, wenn der iPhone-User ein ungesichertes Wlan für die Übertragung nutzte.
„Wir glauben nicht, dass einer unserer Kunden von der Lücke betroffen war. Wenn doch, käme Paypal zu 100 Prozent für den Schaden auf“, bestätigte die Sprecherin des Unternehmens den Sachverhalt.
Erfahren habe man von der Lücke durch einen Bericht im Wall Street Journal. PayPal hat daraufhin sofort reagiert und das Update zur Bereinigung im App Store bereitgestellt.
