Identitäts-Schwindel: Einfacher Browser-Trick täuscht iPhone-Nutzer
Nur knapp drei Wochen nach seinem letzten Warnhinweis meldet sich IT-Sicherheitsexperten Nitesh Dhanjani heute wieder zu Wort und informiert erneut über eine mögliche Schwachstelle der aktuellen iOS-Version.
Die Möglichkeit, so Dhanjani, die Adressleiste des MobileSafari Browsers auszublenden (Youtube-Video – unten eingebettet), würde es sogenannten Phising-Webseiten erleichtern, ihre Besucher zu täuschen.
Betreiber schadhafter (also z.B. auf Passwort-Klau spezialisierter) Seiten könnten die Browser-Adressleiste Safaris mit einem einfachen Trick austauschen und dem unbedarften Besucher so den Eindruck vermitteln, auf der Original-Seite eBays, Paypals oder der eigenen Bank gelandet zu sein.
Dhanjani, der den Angriffs-Vektor sowohl im Video als auch auf einer Test-Webseite demonstriert, hat Apple bereits auf die Schwachstelle aufmerksam gemacht, wartet zur Zeit jedoch noch auf eine zufrieden stellende Antwort:
I did contact Apple about this issue and they let me know they are aware of the implications but do not know when and how they will address the issue.
Als ebenfalls problematisch erweisen sich auch die Web-Ansichten innerhalb zahlreicher AppStore-Applikationen. Aus Platzmangel verzichten vor allem Twitter- und Feed-Reader Applikationen zumeist vollständig auf eine Adressleiste.
Das erkennt doch ein Blinder mit Krückstock.
Ja aber echt einfach immer gucken das nur eine Adressen Suche da ist, aber wer online Banking übers iPhone macht gehört weg gesteckt!
Ich würde sehr persönliche Arbeitsvorgänge, wie z.B. Online Banking sowieso nicht auf dem iPhone erledigen, nichtsdestotrotz ist die Sache bedenklich!
Ich mach Online-Banking ausschliesslich mit dem iPhone.
Die speziellen Apps kommunizieren per HBCI direkt mit dem Bankserver.
Onlinebanking, wie es die meisten verstehen, ist vergleiches Webmail. iControl und iOutbank sind die nativen Mailprogramme.
Das im Browser Gefahren lauschen, ist ja weitläufig bekannt. Deshalb ist Onlinebanking im Browser ein no-go, bei iControl etc. absolut praktisch und sicher.
Was?
Ob die seite echt ist?
Na toll das wird ja immer besser. Man sind wir alle durchsichtig. Ob’s denn irgendwann mal wird mit dem Apfel? Man denkt eigentlich mit jeden update wird es besser aber irgendwie ……
Gruß
Lol, Nice Job, ich benutze das ja selber auf meiner Seite, gut werde es rausnehmen!
Bringt ja jetzt eh nichts mehr, wenn alle zuerst hoch sliden.
@The John Doe
Du hast offensichtlich nicht verstanden, worum es hier geht
nicht nur er, viele andere auch, aber das kennt man ja von hier nicht anderes
Aufstand um nichts! Bei sicherheitsrelevanten Seiten sollte man dann eben einfach vorsichtshalber mal versuchen die Adressleiste wieder nach unten zu ziehen und schon hat sich das Problem von selbst erledigt!
Und deshalb arbeitet man auch mit 1Password! :)
@icke2
Doch, doch verlasse dich mal drauf das ich weis um was es hier geht und verstanden habe ich es auch
Gruß
Nein, schlechte Nachricht: Tut mir leid, du hast es NICHT verstanden.
Doch, doch, er hat es vielleicht verstanden, hat allerdings in seinem erstem Kommentar gar nichts themenbezogenes geschrieben. Zumindest macht sein Gestammel im Kontext zum Artikel von nicolas keinerlei Sinn.
–
Was Nitesh Dhanjanis Meldung über eine „Schwachstelle“ angeht: Hoax. Der Mann schreit nach Aufmerksamkeit, nichts weiter. Es handelt sich hierbei maximal um eine Schwachstelle im Gehirn der User, denn darauf „reinfallen“ kann man nur wenn man sich zu der falschen Seite verlinken lässt und dann nicht selbst prüft wohin man da überhaupt verlinkt wurde. Darauf fallen nur die Idioten rein, die sich auch auf jede Phishing-Mail stürzen wie pawlowsche Hunde und alles wild anklicken.
Die größte Sicherheitslücke sitzt eben immer noch vor dem Bildschirm.
Dafür haben wir ja so Superhirne wie euch zwei.
Und diese „Sicherheitslücke“ wird nun „entdeckt“, gut 3 Jahre nachdem sie auch bereits in der allerersten iPhone-OS-Version möglich war?
Naja, ein klein wenig Medienkompetenz sollte man schon haben, wenn man unbedingt sein Banking übers iPhone machen möchte. Wenn man aber mit der permanenten Angst vor Betrügern lebt, sollte man evtl. sein Smartphone wieder zurückgeben.
Also ich erkläre mal:
Durch das Hinzufügen bestimmter MetaTags wird eine Site bei Ablegen als HomeScreen Button den Safarirahmen los. Dann kann man quasi eine Website programmieren, die wie eine andere Website aussieht. Das ist natürlich schlecht. Aber wie beschrieben: Man muss die Site ja selber als Icon auf den HomeScreen ablegen. Wenn ihr also immer über Safari geht, dann kann nichts passieren.
Klaro?
Was ist mit ifun,wann kommt das update,push u nichts da,oder gleich die Nachrichten der letzten 3 Tage ,up u Download ,es ist ein so super Info Programm bitte bekommt den Bug weg,danke!!!
So macht Kommentare schreiben spaß xD
danke für die neue ifunapp!!
Danke für den Himweis @ ifun
und trotzdem unglaublich…
die Kommentare hier sind mal wieder typisch Fanboy – so eine Meldung bezugnehmend auf ein Android-/Windowssystem würde mit Sicherheit anders kommentiert werden -.-
Ach hör doch mit Android auf.
Unter Android kann ich mit einer präperierten Webseite die Passwörter die in einer App gespeichert wurden auslesen. Beispielsweise aus der installierten BankingApp. Ich muss dazu zwar das Verzeichnis kennen…aber na ja.
Dieses Problem betrifft übrigens alle Versionen von Android und wird laut Aussage von Google auch mit 2.3 nicht behoben, sondern erst mit 3.0
Und ja, während es sich bei der in diesem Artikel genannten „Sicherheitslücke“ nur um eine Gefahr durch Dummheit des Nutzers handelt (jeder der auch nur einigermaßen klar denken kann wird niemals „Opfer“ dieser „Lücke“) handelt es sich bei Android um eine echte Sicherheitslücke. Über 80 weitere, teils kritische, Exploits in Android 2.2 sind bekannt und werden demnächst veröffentlicht…
Und noch einmal: Die hier im Artikel genannte „Lücke“ ist keine Lücke.
Der Smiley ist nichts weiter als )
Haha. Wer reinfällt ist selber schuld. Also ehrlich…