Apple stopft Captive-Portal-Lücke in iOS – nach Jahren
Angreifer konnten über gefakte WLAN-Hotspots auf ungeschützte Cookies zugreifen. Der Bug ist schon vor zweieinhalb Jahren entdeckt worden.
(Bild: Apple)
Apple hat in iOS 9.2.1 eine seit langem bestehende Sicherheitslücke im Zusammenhang mit WLAN-Anmeldungen behoben. Das hat die IT-Security-Firma Skycure mitgeteilt, die den Fehler entdeckt hat.
Gefälschte WLAN-Hotspots
Das Problem betrifft sogenannte Captive Portals – jene Spezialseiten also, die automatisch auf einem iOS-Gerät auftauchen, wenn man sich an manchen kostenfreien oder kostenpflichtigen WLAN-Netzen anmeldet. Dort muss man dann seine Login-Daten eingeben oder zumindest Nutzungsbedingungen absegnen, bevor man surfen kann.
Laut Skycure lag das Problem darin, dass Apple für den Captive-Portal-Aufruf bislang keinen eigenen Cookie-Speicherbereich vorgesehen hatte. Stattdessen wurde der Cookie Store des iOS-Standardbrowsers Safari verwendet. Dadurch ergab sich das Potenzial, dass ein Angreifer, der einen gefälschten WLAN-Hotspot aufgesetzt hat, unverschlüsselte Cookies über problematischen JavaScript-Code abgreifen konnte. Über SSL-Verbindungen gesetzte Datenkrümel, wie sie mittlerweile von vielen Seiten verwendet werden, sind nicht betroffen.
Accounts abgreifbar
Über die abgegriffenen Cookies wäre es dann mit etwas Arbeit möglich, auf Websites zuzugreifen, in die der Nutzer eingeloggt ist. Zudem sollen auch sogenannte Session-Fixation- und Cache-Poisoning-Angriffe möglich gewesen sein. Damit wären Account-Umleitungen (Nutzer surft als Angreifer) und das persistente Nachladen von böswilligem JavaScript-Code möglich, so Skycure. Nähere Details zu den Angriffsformen hat das Sicherheitsunternehmen in einem Advisory gepostet.
Laut Skycure wurde der Fehler schon im Juni 2013 an Apple gemeldet. Seither soll der Konzern an einer Lösung gearbeitet haben, die jedoch komplizierter gewesen sei als angenommen. Andere von Skycure gemeldete Bugs seien bislang stets schneller gefixt worden, hieß es weiter. In iOS 9.2.1 wird das Cookie-Problem nun behoben, indem dem Captive-Portal-Aufruf ein eigener Cookie Store zugewiesen wird. Ein Zugriff auf Safari-Cookies ist so nicht mehr möglich. (bsc)
