- Registriert
- 07.08.08
- Beiträge
- 1.016
Am selben Tag, an dem das iPad vorgestellt wurde, konnte jeder Kunde sein iDevice mit iOS 5.1 ausstatten. Das kleine Update brachte ein paar Neuerungen, unter anderem lernte Siri Japanisch und der Sperrbildschirm bekam einen Kamerabutton. Auch mehrere Sicherheitslücken wurden geschlossen. Eine neue Sicherheitslücke fand nun die Sicherheitsfirma MajorSecurity. Aufgrund eines Bugs im Zusammenhang mit Javascript ist es dem Ersteller einer Website möglich, in der Adresszeile des Browsers Safari eine falsche Adresse anzeigen zu lassen.
[PRBREAK][/PRBREAK]
Wie lässt sich das ausnutzen? Es wäre beispielsweise möglich, eine Seite zu bauen, die der Seite Apples zum Verwechseln ähnlich aussieht und den Besucher dazu animiert, seine Zahlungsdaten für einen vermeintlichen Kauf eines Produkts einzugeben. Auf jedem anderen Gerät würde ein Blick in die Adresszeile genügen, um festzustellen, dass es sich nicht um Apple, sondern um eine Betrügerseite handelt, dank der festgestellten Sicherheitslücke können aber eben diese Betrüger dafür sorgen, dass in der Adresszeile die offizielle Apple-URL zu lesen ist.
MajorSecurity hat Apple bereits vor drei Wochen informiert, ein Update wird folgen. Wer sich das Problem veranschaulichen will, sollte diese Website mit seinem iPhone oder iPad mit iOS 5.1 besuchen und den Demobutton drücken. MajorSecurity hat die Seite erstellt, sie liegt auch auf den Servern des Unternehmens. Trotzdem ist in der Adresszeile Apple.com zu lesen.
[PRBREAK][/PRBREAK]
Wie lässt sich das ausnutzen? Es wäre beispielsweise möglich, eine Seite zu bauen, die der Seite Apples zum Verwechseln ähnlich aussieht und den Besucher dazu animiert, seine Zahlungsdaten für einen vermeintlichen Kauf eines Produkts einzugeben. Auf jedem anderen Gerät würde ein Blick in die Adresszeile genügen, um festzustellen, dass es sich nicht um Apple, sondern um eine Betrügerseite handelt, dank der festgestellten Sicherheitslücke können aber eben diese Betrüger dafür sorgen, dass in der Adresszeile die offizielle Apple-URL zu lesen ist.
MajorSecurity hat Apple bereits vor drei Wochen informiert, ein Update wird folgen. Wer sich das Problem veranschaulichen will, sollte diese Website mit seinem iPhone oder iPad mit iOS 5.1 besuchen und den Demobutton drücken. MajorSecurity hat die Seite erstellt, sie liegt auch auf den Servern des Unternehmens. Trotzdem ist in der Adresszeile Apple.com zu lesen.
Zuletzt bearbeitet von einem Moderator: