iOS-Safari-Lücke erlaubt URL-Fälschung

Laut Sicherheitsforscher David Vieira-Kurz wird eine Lücke im WebKit genutzt, um über das Javascript „window.open()“ einen eigenen HTML- und Javascript-Code einzustellen. Darüber wird in einem neuen Fenster derselben Webseite die jeweilige Adresszeile beliebig verändert. Der Nutzer kann nicht mehr erkennen, ob er das Original oder eine gefälschte Seite geöffnet hat.

Um die Schwachstelle vorzuführen, hat Kurz eine Demoseite zur Verfügung gestellt. Nach einem Klick auf die Schaltfläche „Demo“ öffnet sich eine Seite. Diese lädt in einem randlosen iFrame die Seite von www.apple.com. Diese URL erscheint dann auch in der Adressleiste, auch wenn der Nutzer in Wahrheit immer noch die Seite majorsecurity.net geöffnet hat.

Mit dieser Methode können Kriminelle beispielsweise Phishing-Angriffe durchführen. Das Opfer nimmt dabei an, sich auf der Seite eines Online-Shops oder seiner Bank zu befinden. In Wirklichkeit zeigt der Browser jedoch sie Webseite von Betrügern an, die sich die Zugangsdaten der Nutzer erschleichen wollen.

Die Sicherheitslücke befindet sich im WebKit 534.46 der aktuellen iOS-Version 5.1. Noch ist nicht abschließend geklärt, ob die Lücke nicht auch in älteren iOS-Versionen wie 5.0 vorhanden ist. Weiter wird derzeit geprüft, ob auch andere iOS-Browser, die Zugriff zu Webkit haben, für das Adress-Spoofing anfällig sind. Apple ist laut Vieira-Kurz seit Anfang März über diese Sicherheitslücke informiert.