iOS-Sicherheitslücke ermöglicht Keylogging in Apps mit integriertem Browser

Einem Entwickler ist aufgefallen, dass Apple offenbar beim Trennen von Web Views geschlampt hat. Bietet eine App eine Browser-Ansicht, kann diese von der App selbst beobachtet werden.

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Lesezeit: 2 Min.

Viele iOS-Apps bieten einen eingebauten Browser an, die sogenannte Web View. Das ist in vielen Fällen sehr praktisch, beispielsweise für einen Twitter-Client, der einen direkten Ausflug ins Web bietet, ohne dass in Apples Browser Safari gewechselt werden muss.

Demo-App von Hockenberry.

Wie der bekannte Entwickler Craig Hockenberry, der unter anderem hinter Twitterriffic steckt, nun herausgefunden hat, kann die Verwendung einer solchen Web-Ansicht durch den Nutzer aber ein Sicherheitsproblem darstellen. Demnach ist es für eine App, die sie integriert, möglich, zu beobachten, was der User darin tut – obwohl Apple sonst stark darauf achtet, solche Bereiche zu trennen.

Ein böswilliger Entwickler könnte dies zum Keylogging nutzen und User zum Einloggen auf wichtigen Websites animieren. "Die App stiehlt Ihren Nutzernamen und Ihr Passwort, indem sie beobachtet, was sie eingeben", erläutert Hockenberry. Die Web View habe die Kontrolle über das im Browser laufende JavaScript, Betreiber von Websites könnten nichts dagegen tun.

Hockenberry rät, sicherheitsrelevante Aktionen wie die Authentifizierung bei einer Website lieber nur in Safari durchzuführen, nicht in In-App-Browsern. Eine echte Lösung für das Problem hat er nicht, Apple müsste sowohl seine Web-Engine WebKit als auch die UIWebView-Schnittstelle in allen seinen iOS-Versionen (inklusive der aktuellen 8.0) ausbessern. Noch ist allerdings kein Fall bekannt, in dem eine App mit dieser Methode Zugangsdaten gestohlen hat. Ein Angreifer müsste entsprechenden Code zudem vor Apples App-Store-Review-Team verstecken. (bsc)