Safari und Opera: Sieben Mobile Browser anfällig für Spoofing

Die Cybersicherheitsfirma Rapid 7 warnt vor Schwachstellen, die mehrere mobile Browser betreffen, darunter Apple Safari, Opera Touch und Opera Mini. Sie erlauben Spoofing-Angriffe. Insgesamt zehn Anfälligkeiten ermöglichen es Angreifern unter Umständen, Nutzern gefälschte Websites unterzuschieben.

Als Spoofing werden Angriffe bezeichnet, bei denen Fehler in Browsern es einer schädlichen Website ermöglichen, eine falsche URL in der Adressleiste anzuzeigen – meistens die URL einer legitimen Website. Mobile Browser sind besonders anfällig für solche Attacken, da sie aufgrund der geringen verfügbaren Bildschirmfläche auf bestimmte Indikatoren verzichten, die Nutzer von Desktopbrowsern auf mögliches Spoofing hinweisen beziehungsweise solche Manipulationen generell vereiteln.

Betroffen sind neben Safari und Opera auch die Browser Bolt, RITS, UC Browser und Yandex Browser. Die jeweiligen Hersteller wurden bereits im August über die Schwachstellen informiert.

Erschreckend sind die von den Forschern dokumentierten Rückmeldungen. Ein Fix steht demnach bisher nur für Safari zur Verfügung, und zwar in Form des Updates auf iOS 13.6. Opera kündigte an, vier Bugs in Opera Mini und Opera Touch unter iOS und Android am 11. November zu beseitigen. Opera Mini für Android und Opera Touch für iOS sind also derzeit noch angreifbar.

UCWeb, Anbieter des UC Browser für Android, und Raise IT Solutions als Herausgeber des RITS Browsers, reagierten den Forschern zufolge bisher gar nicht auf ihre Sicherheitswarnung. Yandex antwortete lediglich mit einer automatisierten Rückmeldung. Eine E-Mail an den Entwickler Danyil Vasilenko des Bolt-Browsers war unzustellbar. Stattdessen wandten sich die Forscher an Apple, über dessen App Store der Browser für iOS vertrieben wird.

Ein Angreifer muss den Forschern zufolge ein Opfer lediglich auf eine von ihm erstellte Website locken, um eine der Spoofing-Lücken ausnutzen zu können. Sie empfehlen Nutzern, ihre Browser zu aktualisieren beziehungsweise auf Alternativen auszuweichen, die nicht von diesen Fehlern betroffen sind.