Safari-Lücke unter iOS 5.1 erlaubt URL-Spoofing

Der Sicherheitsforscher David Viera-Kurz von MajorSecurity hat in der aktuellen iOS-5.1-Version von Apples Safari eine Schwachstelle entdeckt, die es Angreifern ermöglicht, die angezeigte Adresszeile des Browsers zu kontrollieren (URL-Spoofing). Weil eine Manipulation für das Opfer nicht ohne Weiteres ersichtlich ist, lassen sich auf diese Weise sensible Daten ausspähen. Das von der Lücke ausgehende Risiko stuft MajorSecurity als “mittel bis hoch“ ein.

Wie Viera-Kurz in einem Advisory schreibt, beruht die Ursache für das Sicherheitsloch auf einer inkorrekten Behandlung der URL, wenn die Javascript-Methode window.open() verwendet wird. Ein Angreifer könne so ein neues Browserfenster öffnen und einige Werte definieren, beispielsweise einen Seitentitel, eine Seiten-URL und die Fenstergröße. Es sei jedoch auch möglich, präparierten HTML- und Javascript-Code in diesem neuen Fenster zu platzieren, der beim Öffnen des neuen Fensters die Adresszeile so manipuliert, dass ein Angreifer die vermeintliche Webseite innerhalb eines iFrame laden kann.

Bei dem von Viera-Kurz veröffentlichten Proof of Concept denkt der Nutzer, er befände sich auf der Website www.apple.com, weil die URL in der Adresszeile angezeigt wird. Tatsächlich ist er aber auf einer anderen Webseite, die lediglich die URL innerhalb eines iFrame anzeigt. Auf dieselbe Weise könnte ein Angreifer eine Online-Banking-Seite anzeigen lassen, um Zugangsdaten seiner Opfer auszuspähen.

Viera-Kurz hat Apple nach eigenen Angaben bereits Anfang März über die Schwachstelle in der Mobilversion von Safari informiert, die er zunächst unter iOS 5.0 und dann auch unter iOS 5.1 gefunden hatte. Sobald der Hersteller einen Patch für die Lücke bereitstellt, sollten Anwender den Mobilbrowser aktualisieren.