Die Sicherheitslücke auf iPhone und iPad schien bereits geschlossen, da gibt es erneute Meldungen im Zusammenhang mit der Software-Bibliothek AFNetworking. Eine Schwachstelle beim eigentlich sicher geglaubten HTTPS erlaubte über mehrere Wochen einen Angriff auf verschlüsselte Verbindungen von iOS-Apps. Der Fehler im Quellcode führte dazu, dass die Überprüfung, ob ein Programm von einem vertrauenswürdigen Herausgeber stammt oder nicht, ausgehebelt wurde.

Folglich konnten Angreifer bei der Nutzung einer entsprechenden App unbemerkt den Datenverkehr auf dem Transportweg entschlüsseln, den Text lesen und die Pakete mit einem eigenen Zertifikat wieder verschlüsseln. Betroffen waren, so hieß es, nur Apps deren Entwickler die Software-Bilbliothek AFNetworking (Version 2.5.1) genutzt haben. Laut den Sicherheitsspezialisten von SourceDNA seien dies über 1000 Anwendungen, darunter auch iOS-Apps von Microsoft, Yahoo, Citrix und Uber.

Mit dem Update auf Version 2.5.2 von AFNetwork sollte die Sicherheitslücke eigentlich geschlossen worden sein. Doch wie Ars Technica berichtet, sei das Problem damit nicht behoben. Denn auch das Update enthalte noch problematischen Code. Hacker könnten das Secure-Sockets-Layer-Protokoll (SSL) überlisten, da der Domain-Name, der zu einem bestimmten SSL-Zertifikat gehört, nicht korrekt überprüft werde.

Erst Version 2.5.3. werde der Schwachstelle tatsächlich Herr. Somit sind potentiell sogar mindestens 25.000 Apps für iOS gefährdet.