PayPal musste seine iPhone-Applikation aktualisieren

Der Online-Bezahldienst PayPal hat eine Aktualisierung für seine iPhone App auf den Weg gebracht, um Phishing-Angriffe zu verhindern. Wie das Wall Street Journal berichtet, prüfte die bisherige Version der Applikation das SSL-Zertifikat der PayPal-Seite nicht richtig beziehungsweise gar nicht. Die App für Android soll den Fehler nicht aufweisen. Enthüllt wurde die Lücke durch das Sicherheitsunternehmen viaForensics.

Die Sicherheitslücke ermöglicht, dass ein Angreifer eine Verbindung eines Opfers auf seinen Computer umleitet und ihm ein imitiertes Zertifikat unterschiebt. Die Applikation müsste hier Alarm schlagen, tut es jedoch nicht. Der Angreifer kann dadurch die Login-Informationen seines Opfers mitlesen. Der Angriff auf die PayPal-Anwendung funktioniert allerdings nur in öffentlichen, zumeist ungesicherten WLANs oder aber in WLANs, bei denen alle denselben Schüssel nutzen.

Schadensfälle sind bisher noch nicht bekannt, und das obwohl die Applikation Berichten zufolge 4 Millionen Mal heruntergeladen worden sein soll. PayPal hat den Fehler am 2. November 2010 behoben und die berichtigte Version zur Veröffentlichung im App Store eingereicht.