Schwerwiegendes Leck in Apples App Store ließ Malware verteilen
Skripte statt Artikelnamen
Das gelingt, da die Store-Verwaltung die Felder für die Rechnungen nicht korrekt überprüft. In dem Feld für den Namen eines gekauften Artikels kann so einfach ein anderer Code eingetragen werden, auch andere Namensfelder sind betroffen. Anschließend erstellt Apple aus den Vorgaben Rechnungen für den Kunden und für den Entwickler. In beiden können sich dann manipulierte Daten befinden, die laut dem Entdecker der Schwachstelle, dem Sicherheitsforscher Benjamin Kunz Mejri, auch dazu ausgenutzt werden können, um Browsersitzungen zu übernehmen oder andere Skripte auszuführen.Zweite Möglichkeit: Phishing
Die Sicherheitslücke wurde daher als kritisch eingestuft. Problematisch ist das allerdings bei den wenigsten Email-Programmen, da die Codes in den Rechnungen von den meisten Email-Programmen erkannt und als Skript nicht ausgeführt werden. Es besteht aber die Möglichkeit. Zudem könnten Angreifer die Schwachstelle im Abrechnungssystem von Apple auch dazu verwenden, beliebige Rechnungen an registrierte Apple-Nutzer zu schicken. Über Phishing hätten die Angreifer dann eine zweite Zugriffsmöglichkeit auf die Systeme der Nutzer.Inhalte ausgetauscht
Wer also auf Nummer sicher gehen möchte, sollte Emails mit Betreff Rechnung von Apple vorerst nicht öffnen, wenn sie aktuell nichts eingekauft haben, auch wenn der Absender vermeintlich wirklich Apple ist - der Inhalt kommt vielleicht von einem Dritten. Ob diese Szenarien auch ausgenutzt wurden, ist nicht bestätigt.Der Sicherheitsforscher Benjamin Kunz Mejri, der die Sicherheitslücke entdeckt hat, hatte die Schwachstelle bereits Anfang Juni gefunden, dokumentiert und an Apple übermittelt. Berichten zufolge soll Apple die Sicherheitslücke bereits über ein internes Server-Update wieder gefixt haben. Das ist auch recht wahrscheinlich, was die "Bug-Melde-Ethik" betrifft, denn ansonsten hätte Benjamin Kunz Mejri die Schwachstelle noch nicht veröffentlicht. Andere Meldungen sprechen hingegen noch von einem offenen Leck.
Thema:
Jetzt als Amazon Blitzangebot
Ab 06:04 Uhr Shargeek Storm 2, 100 W Laptop-Power Bank, 25600 mAh, weltweit erste durchsichtige Powerbank mit IPS-Bildschirm, DC & 2 USB-C- & USB-Anschlüsse Kompatibel mit iPhone, iPad, Samsung, MacBook Series
Original Amazon-Preis
199,99 €
Im Preisvergleich ab
173,69 €
Blitzangebot-Preis
169,99 €
Ersparnis zu Amazon 15% oder 30 €
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Neue iOS-Bilder
Videos zum Thema iOS
Beiträge im Forum
Weiterführende Links
Neue Nachrichten
- Streamer Ninja hat Krebs: "Lasst euch regelmäßig vom Arzt checken!"
- Sony WH-ULT900N: Neue Kopfhörer mit ANC & Ultra Power Sound
- Erde dreht sich immer schneller: Negative Schaltsekunde wird bald nötig
- Elon Musk zum Billig-Tesla: Mitarbeiter werden "am Fließband schlafen"
- Entgegen dem Trend: Hyundai will massiv in Elektroautos investieren
- Tesla will allen Autokäufern eine Full-Self-Driving-Demo aufzwingen
- Circle to Search: Einkreis-Suche auf vielen neuen Geräte, neue Features
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen