Donnerstag, 22. März 2012

Wie aus einem Bericht von MajorSecurity hervorgeht, befindet sich in Safari Mobile eine Sicherheitslücke, die es Angreifern erlaubt, ihren Phishing-Angriff effektiv zu verschleiern. Möglich wird dies durch einen fehlerhaften Umgang mit der Adressleiste, welche unter bestimmten Umständen auch von sogenannten iFrames, eingebetteten Web-Fenstern, aktualisiert wird. Angreifer können daher eine Webseite generieren, welche unter ihrer Kontrolle bleibt, aber in Safari Mobile die Adresse einer anderen Webseite aufweist. So lassen sich beispielsweise Bankseiten nachbauen und durch versteckte Integration der echten Bankseite die vermeintliche Legitimation in der Adressleiste darstellen. Der Angriff kann damit auch von erfahrenen Anwendern nur noch in Einzelfällen bemerkt werden, wenn beispielsweise die Originalseite eine iFrame-Integration verhindert. Apple wurde über die Sicherheitslücke bereits Anfang März informiert, welche sich sowohl in iOS 5.0 als auch 5.1 befindet. Eine entsprechende Sicherheitsaktualisierung steht bislang aus.
0
0
17

Kommentare

user_tron22.03.12 15:35
Die Antiviren Software Hersteller haben weniger Umsatz
Man muss "NICHT" studiert haben, um etwas auf die Reihe zu bringen.
ratti22.03.12 15:52
Genau. iframes können ins Hauptfenster ausbrechen, und das liegt daran, das Antivirensoftware verkauft werden soll.

Unklar ist allerdings, was das mit Viren zu tun hat, was Antivirensoftware dagegen tun könnte, ob Du das Problem überhaupt begreifst und ob dir dein Bankkonto wichtig ist - denn um nichts weniger als das geht es.

Mach dir keine Sorgen. Macs sind sicher (tm).
sierkb22.03.12 16:02
ratti:

+1

Aronnax22.03.12 16:39
Mach dir keine Sorgen. Macs sind sicher (tm).

Was hat eine iOS Safari Sicherheitslücke mit Macs zu tun?

Übrigens sollte man ja bei derartigen Sicherheitslücken überlegen erst mal auf alternative Browser zurückzugreifen.
Ja dann, sei nochmals erwähnt das alle (echten) alternativen iOS Browser zwar auch Webkit basiert sind, die aber nicht über die schnelle Nitro JavaScript-Engine zugreifen dürfen.
Surft also aktuell besser sicher mit sonst einen Browser. Und dann auf dann jeden Fall langsamer, weil Apple hier dank seiner ach so tollen App-Store Zulassungskriterien vergleichbar schnelle Browser nicht zulässt.
Hätte Apple ein Monopol, würde es wohl für ein derartiges Verhalten ein fettes Missbrauchsverfahren fürchten müssen. Na ja, hätte, wäre, wenn ...
Aber iOs Nutzer mögen es ja offensichtlich keine (echte bzw. richtige) Wahl zu haben

Also sprich nicht über Macs, bei iOS Sicherheitslücken. Hier hat man immerhin noch richtige Alternativen.
architron
architron22.03.12 16:41
@ ratti

+1

Der Bursche ganz oben, einfach ohne Worte.
Nicht, weil eine Sache gut ist, begehren wir sie. Sondern weil wir sie begehren, erscheint sie uns gut.
scrambler
scrambler22.03.12 17:32
Banking in der app erledigen, nicht im Browser.
Tuco22.03.12 17:40
*POPCORN*
BIC22.03.12 18:21
Ist mies, aber wer bitte erledigt ernsthaft sicherheitsrelevante Arbeiten im iOS-Browser?
Banking sowieso nicht, klar alle anderen Logins, und dafür ist es auch gerade ärgerlich, kann auch viel Geld kosten...
Aronnax22.03.12 18:34
Ist mies, aber wer bitte erledigt ernsthaft sicherheitsrelevante Arbeiten im iOS-Browser?
Die meisten Webkit Sicherheits-Updates in letzterer Zeit kommen von Google.
Man kann es also deine Frage nun recht eindeutig beantworten: Google, Google, Google
Tuco22.03.12 18:49
Aronnax
Neue Theorie: Google hat die Lücke reingepatcht um Apple zu schaden! Hat was, oder?
Aronnax22.03.12 18:56
Neue Theorie: Google hat die Lücke reingepatcht um Apple zu schaden! Hat was, oder?

Schon wahr, nur hat die Adressleiste nichts mit Webkit zu tun und ist allein in Apples Verantwortung. Aber ansonsten eine gute Theorie bzw. Unterstellung
andreas6322.03.12 19:26
Nun Phising ist im Gegemsatz zu Viren und Trojanern auch am Mac / iGerät durchaus gefährlich!
user_tron22.03.12 19:39
Phisher, Jäger und Sammler...
Man muss "NICHT" studiert haben, um etwas auf die Reihe zu bringen.
7samurai22.03.12 20:08
man, schnell mal in die Adresszeile gesehen ob ich nicht aus versehen im HEISE Forum gelandet bin....
Hannes Gnad
Hannes Gnad22.03.12 22:20
Über diese Lücke wird mittlerweile öffentlich berichtet. Das wird Apple vermutlich dazu bewegen, innerhalb der nächsten paar Tage einen Fix zu bringen, ein 5.1.1.
klapauzius23.03.12 10:36
Geniales Konzept.

Andere Firmen müssen Tester bezahlen, Apple kriegt von denen sogar noch Geld.

Sogar noch richtig viel Geld.

Respekt.
user_tron24.03.12 14:10
Merke: Solange keine definierten Fälle vorliegen, die die Medien anheizen, ist alles nur kalter Kaffee
Man muss "NICHT" studiert haben, um etwas auf die Reihe zu bringen.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

Mein erstes Apple Produkt war ein...

  • Desktop-Mac (PPC oder Intel)29,2%
  • Apple-Notebook (PPC oder Intel)18,4%
  • Klassischer Macintosh (68k)24,3%
  • Apple-Notebook/Portable (68k)2,8%
  • iPod14,4%
  • iPhone4,3%
  • iPad0,2%
  • Apple Watch0,0%
  • Andere Apple-Peripherie (Drucker, Webcam, Maus, Tastatur etc.)0,2%
  • Apple I/II, Lisa5,1%
  • Sonstiges1,2%
1187 Stimmen17.08.15 - 30.08.15
1724