Apple hat sich in Sachen Sicherheitslücken in macOS und iOS in den letzten Monaten nicht gerade mit Ruhm bekleckert. Jetzt gibt es schon wieder eine Negativmeldung. Dieses Mal ist es die Kamera-App in iOS 11 auf den iPhones, die für Furore sorgt.

iOS 11: Kamera-App erkennt URLs nicht richtig

Mit der Kamera-App in iOS 11 ist es endlich möglich, QR-Codes einzulesen – das heißt, dass separate Apps dafür nicht mehr nötig sind. Allerdings sind letztere oft sicherer, wenn es um Phishing-Angriffe geht. Denn die iOS-11-Kamera-App hat hier einen besorgniserregenden Bug.

Der Sicherheitsexperte Roman Mueller hat herausgefunden, dass sich die Erkennung von URLs durch die Kamera-App sehr leicht austricksen lässt. Er hat einen QR-Code für den Link https://xxx\@facebook.com:443@infosec.rm-it.de/ erstellt – infosec.rm-it.de ist sein eigener Blog. Wer diesen QR-Code mit der iOS-11-Kamera-App aufruft, sieht allerdings die Meldung, ob er den Link facebook.com öffnen möchte.

Auf diesem Wege ist es möglich, unbedarfte Benutzer im Glauben zu lassen, dass sie auf einer vertrauenswürdigen Website landen werden. Stattdessen kann es sich um eine sogenannte Phishing-Seite handeln – also eine, die aussieht wie die bekannte Seite, aber nur dazu da ist, Passwörter und andere Benutzerdaten abzugreifen. Was Phishing ist und welche Tricks gerne Verwendung finden, seht ihr in unserer Bilderstrecke.

Bilderstrecke starten(11 Bilder)
Phishing: Die fiesesten Tricks der Betrüger

Kamera-App in iOS 11 hält URL-Bestandteil für Benutzername und Passwort

Mueller glaubt, dass die QR-Code-Funktion der Kamera-App den Bestandteil „xxx\“ als Benutzernamen erkennt, der an „facebook.com:443“ gesendet werden soll, während Safari diese beiden Bestandteile als Benutzernamen und Passwort ansieht, die wiederum für „infosec.rm-it.de“ gelten. Dementsprechend zeigt Safari nach dem Öffnen der vermeintlichen Facebook-Startseite auch die Richtige Adresse an – wer sich also vor Phishing auf diese, Wege schützen möchte, sollte immer darauf achten, welche URL in der Adresszeile des Browsers steht.

Apple kennt Problem seit drei Monaten

Besonders ärgerlich ist aber, dass Mueller Apple schon Ende Dezember auf dieses Problem aufmerksam gemacht hat, Apple aber auch drei Monate später nicht reagiert hat.

Dabei hat Apple in Sachen Sicherheit einiges wiedergutzumachen: Vor allem im Mac-Betriebssystem macOS leistete sich das Unternehmen zuletzt gleich mehrere „Super-GAUs“ – im November konnte sich in macOS High Sierra jeder Benutzer mit einem einfachen Trick mit maximalen „root“-Rechten anmelden, die ersten beiden Versionen des Betriebssystems zeigten außerdem das Passwort für verschlüsselte Laufwerke in Apples neuem APFS-Format im Klartext in Log-Dateien. Unsere Frage, ob Apple bei Software-Updates in letzter Zeit schludert, bleibt wohl leider gerechtfertigt.

Quelle: Roman Mueller via iPhone-Ticker