Manipulierbare Adressbar: Kritische Sicherheitslücke im iOS 5.1 Safari-Browser

Ein neuer, sicherheitskritischer Bug wurde in iOS 5.1 entdeckt. Über diesen ist die Adressbar des Safari-Browser manipulierbar. Durch das sogenannte "adress bar spoofing" kann man einem Nutzer vertäuschen, sich auf der echten Internetseite zu befinden. Allerdings wird diese eigentlich auf einem ganz anderen Server gehostet.

Die Webseite ist in diesem Fall also nur ein Nachbau der originalen Homepage. Der Nutzer hat bei einer guten Umsetzung keine Möglichkeit, die echte Webseite von der gefakten zu unterscheiden. Dadurch gibt er eventuell persönliche Daten wie Passwörter, Kontoverbindungen, Adressen oder sonstiges an die Hacker weiter.

Der Bug wurde von David Vieira-Kurz, einem Mitarbeiter von MajorSecurity, entdeckt. Er entdeckte “an error within the handling of URLs when using javascript’s window open() method.” Mit einem entsprechenden Exploit erreichte er, dass in die Adresszeile des Browsers eine falsche URL eingetragen wurde.

MajorSecurity hat Apple natürlich umgehend über das Sicherheitsrisiko informiert. Der Konzern arbeitet derzeit an einem Fix für das Problem. Wir werden also in kürze sicherlich einen kleinen Patch für die Sicherheitslücke erhalten. Bis Apple das Problem gefixt hat, solltet ihr nur vertrauenswürdige Links anklicken und vorsichtig im Umgang mit euren Passwörtern etc. sein. Gebt lieber die Internetadresse (z.b. eurer Bank, eines sozialen Netzwerks o.ä.) nochmals manuell in den Browser ein als das ihr einer e-Mail mit fragwürdigem Inhalt vertraut.

Die Sicherheitsfirma erstellte zudem eine Beispiel-Webseite, die die Sicherheitslücke für jeden anschaulich zeigt. Klickt einfach auf folgenden Link von eurem iOS-Gerät aus:

>Zur Demo-Webseite von MajorSecurity

Nun musst du den Button “Demo” am oberen Ende der Seite drücken. Es öffnet sich daraufhin eine Webseite, die Apples offizielle Homepage imitiert. Allerdings wird diese Webseite (unter der vermeintlichen URL www.apple.com) nicht von Apple gehostet, sondern von MajorSecurity.

Zum Glück gibt es solch ehrliche Sicherheitsfirmen, die Konzerne auf diese Lücken aufmerksam machen ohne daraus Profit schlagen zu wollen. Ein Beispiel dafür, dass dies auch anders geht, ist z.B. Vupen, über die wir erst gestern berichteten. (via)

Apple-Fan? Dann freuen wir uns auf Dich in unserer Facebook-Community. Bleib mit uns up2date in Sachen iOS-/Cydia-Apps, iOS 6 Jailbreak sowie iPhone 5 und Co.!

Zusätzlich sind wir aktiv auf Twitter und Google+.

Tarife
OnlineShops	getgoods.de Gravis arktis
Exklusives Zubehör
Neueste Artikel	[Cydia App] EmojiPro : Versteckte iOS 5.1 Emojis freischalten 8. Juni 2012 iOS 5.1 : Updatementalität auf die neueste iOS 5.1-Version ungewöhnlich gut 26. März 2012 iOS 5.1 Downgrade : Von iOS 5.1 auf iOS 5.0.1 – ih8sn0w findet eine Lücke in der APTicket-Überprüfung 25. März 2012 ...es gibt einige neue Posts... Manipulierbare Adressbar : Kritische Sicherheitslücke im iOS 5.1 Safari-Browser 23. März 2012

Thema iOS 5.1