[Christian]

Wie majorsecurity.net kürzlich herausfand, enthält der mobile Webbrowser Safari unter iOS 5.1 eine gravierende Sicherheitslücke.

„The weakness is caused due to an error within the handling of URLs when using javascript's window.open() method. This can be exploited to potentially trick users into supplying sensitive information to a malicious web site, because information displayed in the address bar can be constructed in a certain way, which may lead users to believe that they're visiting another web site than the displayed web site.“

Ein Fehler in der Verarbeitung von URLs beim Gebrauch von javascripts kann dazu führen, dass Benutzer auf einer bösartigen Seite private Informationen eingeben, da in der Adresszeile des Browsers eine beliebige, gutartige Adresse angezeigt wird.

Um es zu testen, besucht einfach diese Demo-Website mit eurem iDevice unter 5.1 und klickt auf Demo. Ihr werdet auf eine Seite geleitet, die ein identisches Abbild der Apple-Homepage ist, allerdings immer noch auf majorsecurity.net gehostet wird.

Apple selber weiß bereits seit drei Wochen um diesen Bug und hat den Fehler anerkannt, sodass wir in Kürze mit einem Fix in Form von iOS 5.1.1 rechnen können.

[Falko]

Oha, sehr heimtückisch. Kann man denn irgendwo einsehen, ob die Adresse der aufgerufenen Seite wirklich mit der von mir Erwarteten übereinstimmt?

[Christian]

Nicht, dass ich wüsste.

[mpeg]

ich rieche schon das userland jailbreak :-)

[dNs4S]

Ich benutz Opera Mini

[emanuel0304]

Hallo was heißt das genau ???

[Prabhu Deva]

@mpeg:

Diese Sicherheitslücke hat doch mit einem Userland Jailbreak nix zu tun. Es geht darum, dass du ohne es zu merken auf eine andere Seite umgeleitet werden könntest, damit du z.B. deine Online-Banking-Zugangsdaten auf einer Fake-Seite eingibst, die so aussieht wie die Seite deiner Bank.

[emanuel0304]

Also 5.1 nicht aufspielen ? Auf andere warten ???

[@iPhone]

Habe mir schon mehr mals überlegt zu updaten. Ein grund mehr wieso nicht. Danke für die information.

[Christian]

Das heißt im Grunde folgendes:

Du bekommst eine eMail, die aussieht, als wäre sie von MasterCard. Dort enthalten ist ein Link und du wirst aufgefordert, auf diesen Link zu klicken und deine Kreditkarten-Daten einzugeben, da sonst z.b. deine Karte gesperrt wird.
Die Seite, die sich hinter dem Link versteckt, sieht täuschend echt aus, wie die richtige Seite von MasterCard. Eigentlich ist es aber eine Phishing-Seite und wenn du dort deine Daten eingibst, machen Kriminelle sich diese zunutze.
Und aufgrund der Sicherheitslücke in iOS 5.1 sieht die Internetseite nicht nur aus wie die von Mastercard, sondern in der Adresszeile steht auch "mastercard.com".

Man kann also diese Sicherheitslücke ausnutzen, um eine beliebige Domain in der Adresszeile in Safari anzeigen zu lassen.

[emanuel0304]

Also besser update auf 5.1 oder lassen gabs sowas schon in einer vorherigen iOS ?!

[Christian]

So etwas gab es in den vorherigen Versionen nicht.
Ich bin sowieso schon auf der 5.1 und sehe da für mich nicht so ein großes Problem, da ich brain.exe im Hintergrund eh immer laufen habe und solche Links gar nicht erst anklicke.

[Prabhu Deva]

Wie Chris937 schon schreibt: Eine sehr wichtige Regel, die unabhängig von dieser Sicherheitslücke gilt, ist halt, dass man aus Gründen der Sicherheit "sensible" Adressen wie eben die von seiner Online-Bank immer selber eingeben oder ein eigenes Bookmark dafür verwenden sollte und eben nicht in Mails o.ä. auf entsprechende Links klickt.

[emanuel0304]

Was ist dieses brain.exe ???

[Prabhu Deva]

Ist die Frage ernst gemeint?

[faxie]

Hirn einsetzen

[Chris]

--->> Brain.exe

[emanuel0304]

BEsten dank !!!!

[Christian]

Kann ich dir nur empfehlen emanuel, wirklich toll das Programm

[*Leopard*]

Was auf dem iPhone eine Sicherheitslücke ist ist auf dem Rechner völlig normal. Wie gesagt. Brain.app