Identitäts-Schwindel: Einfacher Browser-Trick täuscht iPhone-Nutzer

Nur knapp drei Wochen nach seinem letzten Warnhinweis meldet sich IT-Sicherheitsexperten Nitesh Dhanjani heute wieder zu Wort und informiert erneut über eine mögliche Schwachstelle der aktuellen iOS-Version.

Die Möglichkeit, so Dhanjani, die Adressleiste des MobileSafari Browsers auszublenden (Youtube-Video – unten eingebettet), würde es sogenannten Phising-Webseiten erleichtern, ihre Besucher zu täuschen.

Betreiber schadhafter (also z.B. auf Passwort-Klau spezialisierter) Seiten könnten die Browser-Adressleiste Safaris mit einem einfachen Trick austauschen und dem unbedarften Besucher so den Eindruck vermitteln, auf der Original-Seite eBays, Paypals oder der eigenen Bank gelandet zu sein.

Dhanjani, der den Angriffs-Vektor sowohl im Video als auch auf einer Test-Webseite demonstriert, hat Apple bereits auf die Schwachstelle aufmerksam gemacht, wartet zur Zeit jedoch noch auf eine zufrieden stellende Antwort:

I did contact Apple about this issue and they let me know they are aware of the implications but do not know when and how they will address the issue.

Als ebenfalls problematisch erweisen sich auch die Web-Ansichten innerhalb zahlreicher AppStore-Applikationen. Aus Platzmangel verzichten vor allem Twitter- und Feed-Reader Applikationen zumeist vollständig auf eine Adressleiste.