Der Sicherheitsforscher Stefan Esser spricht im Interview mit Onkel Heinz über die am Freitag bekanntgewordene Verschlüsselungslücke in iOS und OS X und ihre Hintergründe: Hintergründe zu Apples schwerwiegendem SSL-Problem. Ja, da hat sich Apple nicht mit Ruhm bekleckert.

Aber wer hat den Code denn neu so daneben programmiert? Immerhin ist er erst seit iOS6 und OS X 10.9 vorhanden. Apple dankt keinem Tippgeber, also sind sie selber drauf gekommen? Warum haben sie danach gesucht? Wollte man NSA-Löcher finden? Immerhin sagte Tim Cook Ende Januar 2014: Keine Hintertüren für die NSA. Wie meinte schon John Gruber:

Es sei auffällig, schrieb er, dass Apples Betriebssysteme für Computer und Smartphones seit September 2012 eine schwerwiegende Sicherheitslücke für alle als sicher geltenden Onlineverbindungen gehabt habe, wo doch Edward Snowden zeigte, dass Apple im Oktober 2012 dem NSA-Abhörprogramm „Prism“ hinzugefügt worden sei.

Also nicht nur Aluhut-Verschwörungstheoretiker könnten die NSA direkt dahinter vermuten, immerhin kam der Fehler ebenfalls 2012 in den Code. Deshalb auch alles zum Thema von Apple so wortkarg?

Das iOS-Update, das jeder mal machen sollte.

Der Code ist übrigens öffentlich: sslKeyExchange.c. Warum hat den keiner bemerkt? Okay, die Open-Source-Gemeinde ist jetzt nicht gerade der größte Fan von Apple, aber hier hat das „da schaut schon einer drüber“-Prinzip mal versagt.

Die besagte etwas ungünstige Code-Stelle.

Das Update für Mac OS X aka „Sea Lion“ soll ja bald folgen: Veröffentlichung von OS X 10.9.2 steht angeblich kurz bevor. Der heutige Dienstag wäre ein schöner Tag dafür.