Sicherheitslücke in iOS: In-App-Browser machen Keylogging möglich
Kleiner Fehler mit großer Wirkung
Viele iOS-Apps haben einen eigenen Browser integriert, um Nutzer bei der Verwendung von Links nicht immer an Apples Safari Browser weiterreichen zu müssen. Mithilfe dieses sogenannten "WebView" kann beispielsweise bei einem Smartphone-Twitterclient ein Verweis ins Web direkt aufgerufen werden, ohne den Umweg über das offizielle Surfwerkzeug gehen zu müssen. Wie sich jetzt zeigt, eröffnen diese In-App-Browser unter iOS aber auch Möglichkeiten, die von böswilligen App-Entwicklern ausgenutzt werden könnten.So hat der bekannte Entwickler Craig Hockenberry eine Sicherheitslücke in "WebView" entdeckt, die es möglich macht, dem Nutzer bei der Verwendung sozusagen ganz genau auf die Finger zu schauen. Konkret soll es Apps mit integriertem Browser möglich sein, die exakten Keyboard-Eingaben zu registrieren. Um seinen Fund zu dokumentieren, präsentiert Hockenberry eine eigene "Proof-of-Concept"-App, die den beschrieben Fehler verdeutlicht. Darüber hinaus kann die Funktionsweise dieser Anwendung in einem kurzen Video betrachtet werden.
Böser Wille ist nötig
Craig Hockenberry betont, dass die beschriebe Lücke nichts mit bekannten Methoden wie Phishing zu tun hat, bei denen über gefälschte Seiten Nutzerdaten eingesammelt werden. Da der Fehler in diesem Fall in die App integriert ist, die über den "WebView" das im Browser laufende JavaScript kontrolliert, können die Webseitenbetreiber selbst nichts gegen das Keylogging-Problem in iOS-In-App-Browsern tun.Nach den aktuellen Informationen lässt sich der Fehler bisher unter iOS 7 und iOS 8 reproduzieren. Eines muss aber betont werden: Um die Schwachstelle auszunutzen, müsste ein böswilliger App-Entwickler erst einmal eine Anwendung mit entsprechendem Code in den App Store schmuggeln. Bisher ist keine App bekannt, mit der auf diesem Weg Nutzerdaten gesammelt wurden.
Zum Schluss des ausführlichen Beitrags hat Craig Hockenberry noch einen Sicherheits-Tipp für alle iOS-Nutzer parat, der unabhängig von einer zukünftigen Lösung des Problems seine Gültigkeit hat: Nutzerdaten sollten niemals im "WebView" von Apps eingegeben werden, sondern nur über den Safari-Browser.
Thema:
Jetzt als Amazon Blitzangebot
Ab 06:04 Uhr Shargeek Storm 2, 100 W Laptop-Power Bank, 25600 mAh, weltweit erste durchsichtige Powerbank mit IPS-Bildschirm, DC & 2 USB-C- & USB-Anschlüsse Kompatibel mit iPhone, iPad, Samsung, MacBook Series
Original Amazon-Preis
199,99 €
Im Preisvergleich ab
175,44 €
Blitzangebot-Preis
169,99 €
Ersparnis zu Amazon 15% oder 30 €
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Neue iOS-Bilder
Videos zum Thema iOS
Beiträge im Forum
Weiterführende Links
Neue Nachrichten
- Ende einer Ära: Letzte Luftpost-Flüge innerhalb Deutschlands beendet
- Social Media-Nutzer überziehen Boeing mit Spott - dort lacht man nicht
- Google Maps: Neues Update erleichtert Routenplanung
- Phishing-Betrüger stahl mit ausgeklügelter Masche hohe Geldbeträge
- Twitch verbietet "Butt-Streams" - ja, hier ist "Spielen auf Pos" gemeint
- KI-Hype lässt den Kampf um IT-Fachkräfte völlig eskalieren
- Star Trek 4 kommt doch - wird aber der letzte Teil der Reboot-Filme
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen