Sicherheitslücke in iOS 5.1 Safari

Niklas Marxen · 23.03.12

Am selben Tag, an dem das iPad vorgestellt wurde, konnte jeder Kunde sein iDevice mit iOS 5.1 ausstatten. Das kleine Update brachte ein paar Neuerungen, unter anderem lernte Siri Japanisch und der Sperrbildschirm bekam einen Kamerabutton. Auch mehrere Sicherheitslücken wurden geschlossen. Eine neue Sicherheitslücke fand nun die Sicherheitsfirma MajorSecurity. Aufgrund eines Bugs im Zusammenhang mit Javascript ist es dem Ersteller einer Website möglich, in der Adresszeile des Browsers Safari eine falsche Adresse anzeigen zu lassen.
[PRBREAK][/PRBREAK]
Wie lässt sich das ausnutzen? Es wäre beispielsweise möglich, eine Seite zu bauen, die der Seite Apples zum Verwechseln ähnlich aussieht und den Besucher dazu animiert, seine Zahlungsdaten für einen vermeintlichen Kauf eines Produkts einzugeben. Auf jedem anderen Gerät würde ein Blick in die Adresszeile genügen, um festzustellen, dass es sich nicht um Apple, sondern um eine Betrügerseite handelt, dank der festgestellten Sicherheitslücke können aber eben diese Betrüger dafür sorgen, dass in der Adresszeile die offizielle Apple-URL zu lesen ist.

MajorSecurity hat Apple bereits vor drei Wochen informiert, ein Update wird folgen. Wer sich das Problem veranschaulichen will, sollte diese Website mit seinem iPhone oder iPad mit iOS 5.1 besuchen und den Demobutton drücken. MajorSecurity hat die Seite erstellt, sie liegt auch auf den Servern des Unternehmens. Trotzdem ist in der Adresszeile Apple.com zu lesen.

iStationär · 23.03.12

Aber die Leute die das machen gehören auch bestraft. Also wer so dumm ist und auf so ein Trick reinfällt sollte glatt das doppelte zahlen. Ich kauf doch kein Apple Produkt einfach so auf der Seite via Safari wenn ich kurz zur Bahn gehe. Also wenn schon mobil dann über die App, von Zuhause, ein Reseller oder ein Apple Store... aber das?

Tri_Apfel · 23.03.12

Es muss ja nicht gleich die Apple-Seite sein. Ein Paypal-Fake ist z.B. ebenso möglich. Und mal eben von unterwegs aus was über iPad kaufen und bezahlen habe ich schon gemacht.

SnejK · 23.03.12

iStationär schrieb:
Aber die Leute die das machen gehören auch bestraft. Also wer so dumm ist und auf so ein Trick reinfällt sollte glatt das doppelte zahlen. Ich kauf doch kein Apple Produkt einfach so auf der Seite via Safari wenn ich kurz zur Bahn gehe. Also wenn schon mobil dann über die App, von Zuhause, ein Reseller oder ein Apple Store... aber das?

Fehler seitens Apple. Gehört natürlich beseitigt. Und mit Dummheit hat das auch nicht mehr viel zu tun. Wenn man die Adressleiste checkt und alles in Ordnung ist? Gabs doch vorher auch nicht...

Bierhefe · 23.03.12

Da bist du aber ein bisschen überheblich, iStationär.

McCoother · 23.03.12

Tri_Apfel schrieb:
Es muss ja nicht gleich die Apple-Seite sein. Ein Paypal-Fake ist z.B. ebenso möglich. Und mal eben von unterwegs aus was über iPad kaufen und bezahlen habe ich schon gemacht.

Ich glaube wenn da paypalpayment.de etc steht schöpft auch niemand verdacht..

Nathea · 23.03.12

McCoother schrieb:
Ich glaube wenn da [ URL="http://web.paypal.de"]paypalpayment.de[/URL] etc steht schöpft auch niemand verdacht

Ich habe einmal das, was Du eingetippt hattest, mittels Setzen eines Leerzeichens vor "URL" so verändert, dass es allgemein lesbar ist.

Du hast einfach "paypalpayment" als Wort geschrieben und den Link zu web.paypal.de damit verknüpft. Das ist nichts tolles oder besonderes

iStationär · 23.03.12

Natürlich ist das ein Fehler Seitens Apple, der auch schnellst möglich behoben werden sollte.
Trotzdem bleib ich bei der Meinung. Wer bei so einer unseriösen Internetseite landet und dann vll ein paar Euro spart gegenüber der Bucht oder Amazon und dann auf eben eine gefälscht paypalpayment.de Seite gelangt und es eingibt... Pech
Apple Produkte sind auch meistens keine Sache die man zwischen Kaffe und Bahnfahrt tätigt und wenn: Es gibt eigentlich für alles eine App. (Paypal auch

)

iDAG · 23.03.12

Ich denke auch dass dies ein schnell behebarer Fehler ist.
Allerdings ist das schon fies. Im Prinzip können Hacker die Seite 1:1 kopieren und dann noch komplett den komplett selben Adresszeilen String anzeigen lassen. Und auf dem iPad hat man keine Anti-Fishing Programme drauf (denke ich mal).

Ich habe jetzt leider grad kein iPad zur Hand. Aber gibt es keine Möglichkeit Informationen der Seite anzuzeigen?
Also die Eigenschaften der Website einlesen wo alle Ressourcen etc. aufgelistet werden.
Am PC (evtl auch bei MAC ka) geht das. Man könnte dann feststellen dass da was nicht stimmt.
Wäre zwar lästig, aber bis zum schließen der Lücke für Paranoide würde es Vertrauen schaffen.

McCoother · 23.03.12

Nathea schrieb:
Ich habe einmal das, was Du eingetippt hattest, mittels Setzen eines Leerzeichens vor "URL" so verändert, dass es allgemein lesbar ist.

Du hast einfach "paypalpayment" als Wort geschrieben und den Link zu web.paypal.de damit verknüpft. Das ist nichts tolles oder besonderes

nein hab ich nicht. das ist ganz komisch.. ich hab erst web.paypal.de hingeschrieben, dass dann aber mit paypalpayment ersetzt.. diese komische Kombo hat Safari/das Forum hier alleine gemacht.

Ich wollte eigentlich darauf hinaus, dass die meisten menschen nicht in die adresszeile gucken, und wenn sie es machen, und auf ner Paypal Seite sind und in der Adresse steht paypal und sonst noch was, sie keinen verdacht schöpfen.

Mure77 · 23.03.12

Das sich immer wieder welche da hin setzen die nach Lücken suchen, da spiele ich mir lieber an den Füßen.

MBSoft · 24.03.12

Die Gefahr ist doch eher gering. Wer etwas bei z.B. Apple via iPad im Browser kaufen will, der geht doch wohl selbst auf die Apple-Seite und folgt nicht irgendeinem Link auf irgendeiner Seite, wo dann nur Apple.com in der Adressleiste eingeblendet wird.

DubiDuh · 24.03.12

Ob die Gefahr gering ist oder nicht, spielt in keinster Weise eine Rolle! Das Problem ist präsent, kann also potentiell ausgenutzt werden und ist daher zu lösen. Und selbst hier auf Apfeltalk gibt es genug Links in den iTunes- / Apple-Store, welche von zahlreichen Benutzern angeklickt werden.

Des Weiteren ist dieses Problem nicht nur auf PayPal und Apple zu reduzieren, sondern muss auf Typebene betrachtet werden: Online-Paymentseiten können kompromittiert werden bzw. Benutzer in die Irre geleitet werden und auch für jeden Online-Shop gilt dies. Nicht jeder Benutzer tippt die URL in die Adresszeile des Browsers ein, sondern folgt Links. Das ist das Konzept von Webseiten und wird rege genutzt. Daher ist ein herunterspielen dieser Sicherheitslücke keine Lösung und auch nicht angebracht. Sie muss gefixed werden (wird es sicherlich) und dann hat sich die Sache. Eine Sensibilisierung wie im Falle von Apfeltalk gegeben ist in jeder Hinsicht gut.

highlite86 · 25.03.12

Man sollte der Vollständikgeit halber erwähnen, dass diese Lücke nicht nur iOS betrifft sondern generell Webkit. Somit wären auch einige Android-Modelle betroffen...

smoe · 25.03.12

Aber Safari am Mac ist doch auch Webkit, und dort kann ich zumindest das Problem nicht feststellen?

highlite86 · 25.03.12

Das ist natürlich richtig, jedoch benutzen Chrome und der Desktop Safari eine aktuellere Webkit Version. Die mobilen Browser haben anscheinend eine Ältere am laufen...
Hier ein paar mehr Infos:
http://www.heise.de/security/meldung/Adress-Spoofing-Schwachstelle-in-iOS-Safari-1476075.html

flash77 · 26.03.12

Na hoffen wir, dass der Fehler bald beseitigt wird!

Sicherheitslücke in iOS 5.1 Safari

Thurgauer Weinapfel

Russet-Nonpareil

Antonowka

Reinette de Champagne

Leipziger Reinette

Querina

Admin

Russet-Nonpareil

Alkmene

Querina

Golden Noble

Oberösterreichischer Brünerling

Zwiebelapfel

Ingrid Marie

Roter Winterkalvill

Ingrid Marie

Dülmener Rosenapfel

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)