iOS 5.1: Sicherheitslücke in Safari erlaubt Fälschung der Adressleiste

Holger Eilhard
6

Mit der steigenden Beliebtheit der mobilen Betriebssysteme wie iOS, widmen sich auch Sicherheitsunternehmen immer häufiger den vergleichsweise neuen Plattformen. Dabei ist nun eine Sicherheitslücke entdeckt worden, die es einem Angreifer ermöglicht die Adressleiste des Safari-Browsers in iOS 5.1 fälschen zu können.

iOS 5.1: Sicherheitslücke in Safari erlaubt Fälschung der Adressleiste

Gefunden wurde die Lücke von David Vieira-Kurz von MajorSecurity (via The Next Web). Ein Fehler in der JavaScript-Funktion window.open() öffnet die Lücke, die es einem Angreifer ermöglicht, eine gefälschte URL in der Adressleiste anzuzeigen.

So kann dem iOS-Nutzer zum Beispiel vorgetäuscht werden, dass er auf Apple.com surft, wobei die eigentlich geladenen Seiten-Inhalte von einem ganz anderen Server stammen. Damit könnte der Nutzer zum Opfer von Phishing-Angriffen werden, bei denen zum Beispiel Logindaten oder Kreditkarteninformationen abgegriffen werden.

Eine Website, auf der die Lücke demonstriert wird (“Proof of Concept”), haben die Entwickler ebenfalls bereitgestellt. Diese Seite muss natürlich mit dem mobilen Safari aufgerufen werden.

Die Lücke konnte unter iOS 5.1 auf dem iPhone 4, iPhone 4S, iPad 2 und dem neuen iPad nachvollzogen werden. Auch frühere Versionen von iOS und anderen iOS-Geräten können von dem Problem betroffen sein.

Apple wurde bereits am 2. März über das Problem informiert und hat am folgenden Tag darauf reagiert. Es ist also eine Frage der Zeit bis Apple ein Update von iOS veröffentlicht. Bis dahin sollte man vorsichtig mit unbekannten URLs umgehen und aufpassen, welche Seiten persönliche Daten abfragen.

Weitere Themen: AppKack der Woche: Die schlechtesten Mobile Games, Apple

Neue Artikel von GIGA APPLE

GIGA Marktplatz