Mobile Safari: UI Spoofing als Sicherheitsrisiko

Ben Miller
7

Spoof
Um Webentwicklern auch auf einem iOS Device mehr Möglichkeiten bei der Erstellung von Web-Applikationen zu bieten, lassen sich bestimmte Funktionen oder Bedienelemente beim Mobile Safari gesondert aktivieren, anpassen bzw. ansteuern.

Sofern der Mobile Safari nicht gerade eine Seite lädt, kann die Web-Applikation beispielsweise auch die Browser-Leiste des Mobile Safari temporär “hochklappen” lassen, um sich selbst mehr Raum auf dem doch relativ kleinen Bildschirm eines iPhones oder iPod touches zu geben.

Unachtsame User könnten hier aber relativ schnell in eine Falle tappen wie Sicherheitsexperte Nitaesh Dhanjani anhand des folgenden Videos demonstriert:

Wie im Video zu sehen, wurde auf der Webseite eine zweite gefälschte Browserleiste (in diesem Fall eine schlichte Grafik) unterhalb der Echten eingefügt, welche den Anschein vermitteln soll, man wäre auf einer HTTPS-gesicherten Webadresse. Da die reale Browserleiste hochgeklappt wurde bleibt nur noch die Gefälschte sichtbar.

Erst wenn man wieder nach oben scrollen möchte, fällt der Schwindel auf.

Besonders in Kombination mit den immer beliebteren “Kurz-URL-Diensten” wie beispielsweise bit.ly, bei deren Kurz-URLs nicht immer die dahinterliegende reale Internet-Adresse ersichtlich ist, ist das Risiko groß, unbewusst auf eine gefälschte Facebook-, Twitter oder Bank-Webseite weitergeleitet zu werden.

Neue Artikel von GIGA APPLE

GIGA Marktplatz