Sicherheitslücke in iOS 7 und iOS 8

In-App-Browser können Passwörter auslesen

Ein Entwickler hat eine Sicherheitslücke in iOS 7 und iOS 8 entdeckt: Über integrierte Browser können Apps eingegebene Texte und damit auch Passwörter mitlesen.

Apple iPhone 6

© Apple

Apple iPhone 6

Der Entwickler Craig Hockenberry, der unter anderem hinter der App Twitterrific steckt, hat in einem Blogeintrag auf die Sicherheitslückein iOS-Apps hingewiesen. Dabei geht es um Apps, die einen integrierten Browser nutzen, um Webinhalte anzuzeigen. Wenn der Nutzer im In-App-Browser etwas eintippt, kann die App den Text auslesen, ohne dass der Nutzer etwas davon bemerkt. Dazu zählen auch Passwörter. Das Problem tritt in iOS 7 und iOS 8 auf. Möglicherweise sind auch ältere Versionen des Apple-Betriebssystems betroffen.

In einem Video demonstriert Craig Hockenberry, wie eine von ihm geschriebene App Passwörter im Klartext ausliest, während er sich über einen In-App-Browser bei Twitter anmeldet. Im oberen Teil des Bildschirms ist zu sehen, dass die App alle Texte, die er auf der Tastatur eingibt, mitlesen kann. Die so gesammelten Daten könnte eine App etwa auch unbemerkt an einen Server weiterleiten.

Doch nicht nur das: Auch die Twitter-Seite selbst lässt er innerhalb des App-Browsers anders anzeigen. Er hat den Text des "Sign in"-Buttons geändert. Er betont dabei, dass es nach wie vor die echte Twitter-Seite sei, die im In-App-Browser aufgerufen wurde.

Bisher sind keine Fälle bekannt, in denen diese Sicherheitslücke ausgenutzt wurde. Dennoch gäbe es keine Garantie, dass eine App, die auf diese Weise Nutzerdaten sammelt, im Review-Prozess von Apple erkannt und aus dem App-Store verbannt würde. Um auf Nummer sicher zu gehen rät Hockenberry, keine privaten Daten in einem In-App-Browser einzugeben. Stattdessen sollte man Links lieber in Apples Browser Safari öffnen, um sich bei irgendeinem Dienst anzumelden. Der Browser habe eine Sicherheitsgarantie von Apple. Außerdem sollte man nur Apps von Anbietern installieren, denen man vertraut.

iOS In-App Browser Key Logging Demo

Quelle: ChiefTypist
0:59 min

Mehr zum Thema

Apple iOS 8 Update
Update für iOS 8.0.1

Nachdem Apple das iOS 8.0.1 zurückgezogen hat, wurde iOS 8.0.2 zum Download freigegeben. Doch auch das neue Update scheint dieselben Bugs…
iPhones mit iOS 8
iOS Release und Probleme

Apple hat iOS 8.1.1 für Entwickler freigegeben. Die Beta-Version bietet neben Bugfixes auch mehr Speed für das iPhone 4S und iPad 2. Unklar ist, ob…
iPhone 6 Touch ID Funktion
WireLurker

Der Trojaner "WireLurker" breitet sich auf iPhones und iPads weiter aus. Inzwischen gibt es ein Detector-Tool und Apple ergreift erste Maßnahmen.
Smartphones bis 4,3 Zoll
Von iPhone auf Android & Co. wechseln

Apple bietet gegen den SMS-Bug von iMessage ein neues Tool, mit dem ein Wechsel vom iPhone zu Windows Phone oder Android-Smartphone erleichtert wird.
Apple iPad mini 3
iOS-Update

Das iOS 8.1.1 Update bietet Bugfixes und vergrößert den Speicherplatz bei iPhone und iPad. Der Zugewinn beträgt je nach Modell fast bis zu 2…
Alle Testberichte
Acer Switch Alpha 12
Detachable
75,4%
Das Acer Switch Alpha 12 ist das erste lüfterlose 2-in-1-Gerät mit Core-i-Prozessor. Im Test hinterlässt es einen…
Huawei P9 Plus
5,5-Zoll-Smartphone
88,0%
Huawei optimiert das P9 und heraus kommt ein echter Überflieger: Wir haben das Huawei P9 Plus getestet.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.