Safari: Adressleiste lässt sich manipulieren
Oh hat, mit herkömmlichen Spoofing-Angriffen hat Apples iPhone-Betriebssystem schon seit November 2010 nicht mehr zu kämpfen. Jetzt ist es mal wieder so weit. Wie die auf IT-Sicherheit spezialisierte Webseite heiseSecurity heute meldet, kann die Adresszeile des iPhone-Browsers Safari mit einem schadhaften Javascrip-Schnipsel manipuliert werden.
Zwar läuft der Angriff alles andere als butterweich – besucht man die Demo-Seite mit iOS 8.3 flackert die Safari-Adressleise deutlich – ist aber in der Lage, arglosen iPhone-Besitzern den Besuch einer fremden Web-Adresse vorzugaukeln.
Interessierte Leser können sich den vorgestern veröffentlichten Proof of Concept der Security-Spezialisten von deusen.co.uk auf dieser Testseite anschauen. Klickt ihr auf den „Go“-Link, blendet Safari die Web-Adresse der englischen Zeitung „Daily Mail“ ein, leitet euch aber auf eine Webseite der Sicherheitsforscher.
Der demonstrierte Effekt könnte für Phishing-Angriffe gegen iPhone-Nutzer eingesetzt werden, dürfte aber spätestens mit dem nächsten iOS-Update aus der Welt geschafft werden.
Ahjaaaaaaa
„Oh hat, mit herkömmlichen Spoofing-Angriffen hat Apples iPhone-Betriebssystem schon seit November 2010 nicht mehr zu kämpfen.“
Das ist wohl auch ein mit JavaScript manipulierter Satz
haha
„… mit iOS 8.3, flackert …“
Komma.
Ich habe iOS 7.1.2 und werde auch wirklich auf Daily Mail weitergeleitet. Also irgendwie funktioniert der Angriff nicht
Hier wurde offensichtlich die erste Textzeile manipuliert….
Skandal!
So ein Schwachsinn.
Was hat das bitte mit manipulieren zu tun, wenn man anscheinend eine normale JS-Weiterleitung benutzt?
Bei mir ist das kein flackern, sondern es ist deutlich wahrzunehmen, dass ich von deusen.co.uk auf dailymail.co.uk weitergeleitet werde, es aber nicht so recht klappen möchte (soll). Auch die Ladeleiste ist zu sehen, wie sie mehrfach bis ca. 10-20% lädt, aber dann wieder schnell verschwindet.
Der Inhalt der Seite, wie er oben dargestellt wird, ist bei mir gar nicht sichtbar, lediglich eine weiße Seite. Das heißt, dass die Seite bei mir noch nicht mal richtig lädt.
Der Inhalt der Seite („Address bar says dailymail.co.uk […]“) ist bei mir erst sichtbar, wenn ich auf das X drücke – wie ich schon vermutet habe.
Also: Mal wieder unsinnige Panikmache um nichts. Aber sieht man sich mal die Presse an, zeigt sich wieder, dass das Ziel offenbar erreicht wurde: https://news.google.com/news/story?ncl=dWtX9TNGIinr86M2xY6y22jncUROM&q=Safari&lr=German&hl=de
Ich warte dann mal, bis mal wieder die altbekannte Zeitung mit den 4 Buchstaben kommt und von einem fatalen Sicherheitsproblem in Safari faselt, das derzeit durch eine 0-Day-Lücke schamlos ausgenutzt wird und jeder Apple-Nutzer potenziell bedroht wird.
Mr. IT-Sicherheit hat gesprochen.
… und Recht hat der Mr. IT-Sicherheit. Panikmache um nichts.
Recht hast.
Unter der iOS 8.4 Beta funktioniert der “Trick” noch. Allerdings sieht man durchgängig einen immer wieder aufploppenden Ladebalken.
Bei mir unter iOS Beta 8.4 funktioniert es zwar auch, aber das DailyMail.co.uk flackert stark :) verdächtig!!
Versuch mal zu scrollen… Selbst das hakt sehr deutlich. Wenn die Seite aus mehr Bildern bestehen würde, würde es glaub ich gar nicht richtig angezeigt werden. Vermutung
Also bei mir unter den neusten iOS ist es so wie beschrieben.
Das Flackern ist aber sehr auffällig…
Mit wem hat Oh nicht mehr zu kämpfen?
Das ist keine Sicherheitslücke, sondern einfach nur eine unglücklich gewählte Anzeige.
Hier der Quelltext:
Whatever
Address bar says dailymail.co.uk – this is NOT dailymail.co.uk
function f()
{
location=“http://www.dailymail.co.uk/home/index.html?random=“+Math.random();
}
setInterval(„f()“,10);
Das macht nichts anderes als dailymail.co.uk schneller neu zu laden als die Anfrage verarbeitet werden kann. Dadurch flackert auch die Adressleiste.
Phishing Angriffe sind damit nicht möglich.
Lol.
Das macht nichts anderes als zu verschleiern daß man sich im Momemt NICHT auf der dailymail-Seite befindet. DARAUF kommt es an.
Es SOLL ja gar nicht weitergeleitet werden.
Man fragt zum Beispiel die Login-Daten ab während der Benutzer sich auf der Seite wähnt, auf der er sich auch anmelden möchte.
Was ist daran so schwer zu verstehen?
Probier doch mal bitte auf der Webseite etwas zu markieren. Es geht einfach nicht, daher kann auch niemand jemals Zugangsdaten eintippen.
Damit jemand Zugangsdaten eintippen kann müsste die Zeit zwischen den Aufrufen verlängert werden. Das bedeutet dann aber auch:
a) Du siehs die URL der eigentlichen Webseite.
b) Du landest auf der Zielseite, da diese schneller lädt als der erneute Aufruf erfolgt.
Solange es keine Sicherheitslücke gibt, die ohne Webseitenaufruf eine andere Adresse anzeigt, wird auch kein solches Problem dadurch entstehen.