16.000 Apps angreifbar
ZipperDown: Programmierfehler macht iPhone-Apps verwundbar
Die für mehrere erfolgreiche Angriffe auf das iPhone-Betriebssystem verantwortlichen Pangu Labs – ein loser Zusammenschluss von Entwicklern, die etliche iOS-Versionen mit einem Jailbreak knacken konnten – haben auf eine Sicherheitslücke aufmerksam gemacht, die mehrere tausend iOS-Anwendungen gefährden soll.
Das Einfallstor trägt den Spitznamen ZipperDown und soll die Ausführung von Fremdcode in iPhone-Anwendungen ermöglichen, ohne dass dafür das iPhone-Betriebssystem selbst kompromittiert sein muss.
Nach Angaben der Pangu Labs sei ein gängiger Programmierfehler für die Verwundbarkeit der betroffenen Anwendungen zuständig. Dieser könnte im schlimmsten Fall zu einem Datenabgriff führen. Auf ihrer Webseite zur Sicherheitslücke schreiben die Entwickler:
Welchen Schaden kann ZipperDown anrichten? Dies hängt von der betroffenen App und ihren Berechtigungen ab. Im Allgemeinen könnten Angreifer die Daten der betroffenen App überschreiben oder im Kontext der betroffenen App sogar Code ausführen. Beachten Sie, dass die Sandbox sowohl auf iOS als auch auf Android die Auswirkungen von ZipperDown effektiv begrenzen kann.
Zwar demonstrieren die Pangu Labs die aufgespürte Sicherheitslücke in einem YouTube-Video bleiben weiterführende Informationen derzeit jedoch noch schuldig. Um einen größeren Angriff zu vermeiden, will man vorerst mit betroffenen App-Entwicklern daran arbeiten, die verwundabren Apps abzusichern. Details zur Schwachstelle ollen erst anschließend veröffentlicht werden.
Aktuell kennen die Pangu Labs 15.978 verwundbare Applikationen, die auf dieser Webseite gelistet werden.
Hinweis: Dieses eingebettete Video wird von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA bereitgestellt.
Beim Abspielen wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen.
Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.
Wer das Speichern von Cookies für das Google-Ads-Programm deaktiviert hat, wird auch beim Anschauen von YouTube-Videos mit keinen solchen Cookies rechnen müssen. YouTube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.
Weitere Informationen zum Datenschutz bei „YouTube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/
Tolles Video :(
Es handelt sich hier wohl um Hybrid Apps die WebViews benutzten und eine Js/ Objc(swift) Bridge benutzen. Daher Js kann nativen code triggern. Im Regelfall sollte sich daher nur bestehene Funktionen mit eigenen Daten füttern lassen z.B. Ein Alert mit eigenen Strings etc..
wieder was dazugelernt :-)
Dass ;)