Adress-Spoofing-Schwachstelle in iOS-Safari

Durch eine WebKit-Schwachstelle in der mobilen Version von Safari können Angreifer die Adresszeile in Apples mobilem Browser manipulieren und den Nutzer durch eine gefälschte URL in die Irre führen. Darauf weist der Sicherheitsforscher David Vieira-Kurz hin. Eine "inkorrekte Behandlung der URL" bei der Javascript-Methode "window.open()" erlaube einem Angreifer, eigenen HTML- und Javascript-Code in einem neuen Fenster zu platzieren und darüber die Adresszeile beliebig zu verändern, so Vieira-Kurz.

Der Sicherheitsforscher demonstriert die Schwachstelle unter majorsecurity.net/html5/ios51-demo.html – der Button "Demo" öffnet eine neue Seite, die in einem randlosen Inlineframe apple.com lädt und in der Adresszeile ebenfalls apple.com anzeigt, obwohl sich der Nutzer weiterhin auf majorsecurity.net befindet. Betrüger könnten dies für Phishing-Attacken einsetzen: Manipulierte Seiten, die beispielsweise zur Eingabe der Accountdaten auffordern, erhalten so einen glaubwürdigen Anstrich.

Die Schwachstelle betrifft WebKit 534.46 in der aktuellen iOS-Version 5.1 – ältere iOS-Versionen, darunter 5.0 weisen die Sicherheitslücke möglicherweise ebenfalls auf. Neben Safari dürften auch iOS-Dritt-Browser, die ebenfalls auf WebKit zurückgreifen, für das Adress-Spoofing anfällig sein. [Update: Es sind offenbar nur einzelne Dritt-Browser wie beispielsweise Dolphin HD von der Schwachstelle betroffen, andere iOS-Browser wie iCabMobile oder Atomic Web dahingegen nicht.] Vieira-Kurz hat Apple nach eigener Angabe bereits Anfang März über die Sicherheitslücke informiert. (lbe)