Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Entwickler warnt vor In-App-Browsern

Viele Dritthersteller-Apps bieten einen integrierten Web-Browser an, mit dem Inhalte aus dem World Wide Web direkt angezeigt werden können, ohne in eine Browser-App wechseln zu müssen. Der Anwender sieht kaum einen Unterschied zum Safari in iOS. Doch ist es für böswillige Programmierer ein Leichtes, eingegebene Texte mitzulesen und so etwa Nutzernamen und Passwörter abzugreifen.

Aufmerksam macht darauf Craig Hockenberry, Entwickler des Twitter-Klienten Twitterific. In einem Video zeigt er, wie leicht es ist, auf diesem Weg Keylogging zu betreiben. Da das WebView umfassende Kontrolle über JavaScript hat, können einerseits Inhalte der Webseite geändert und andererseits Zwischenebenen zum Abgreifen der Tastatureingaben installiert werden. Hockenberry betont, dass dies kein Fehler von Webkit sei, sondern ein bösartiges Ausnutzen von dessen Funktionalität. An Apple richtet er die Empfehlung, Nutzerdaten mit dem OAuth-Protokoll zu schützen, mit der man einer Anwendung den Zugriff auf seine Daten erlauben kann, ohne alle Zugangsberechtigungen preiszugeben. Die sicherste Lösung für den Endanwender ist es aber sicherlich, keine sensiblen Daten über In-App-Browser einzugeben, sondern stattdessen eine richtige Browser-App zu verwenden.


Weiterführende Links:
Kurztest MacBook Pro M4
Kurztest MacBook Pro M4
Mac ausschalten?
Mac ausschalten?
Apple gewährt Einblick in Audio- und Video-Testlabor für iPhones
Apple gewährt Einblick in Audio- und Video-Test...
iPad Pro M4 wird grün – Displayfehler bei immer mehr Nutzern
iPad Pro M4 wird grün – Displayfehler bei immer...
Test Apple Mac mini M4
Test Apple Mac mini M4
Bericht: Produktionsstopp der Apple Vision Pro?
Bericht: Produktionsstopp der Apple Vision Pro?
Schneller als Apple Silicon? AMD wählt bei Chipvorstellung zweifelhaften Vergleich
Schneller als Apple Silicon? AMD wählt bei Chip...
20 Jahre Mac mini
20 Jahre Mac mini

Kommentare

ExMacRabbitPro25.09.14 10:17
Und das wird ihm jetzt erst klar?
-1
W164122
W16412225.09.14 10:17
Wäre bei 1Passwort ja dann auch so ?
*apple* ...... vom iPhone 1 über iMac Blueberry bis zum Powermac G5 ....von OSX 9 bis Lion *apple*
0
BudSpencer25.09.14 10:19
Nein er warnt.
Wie viele deiner Freunde und Familie wissen den das dies möglich ist.
Ein Bruchteil.

Wenn das durch die Presse geht, bekommt es jeder mit.
Daher Top.
+1
ibaschi
ibaschi25.09.14 10:29
BudSpencer
Nein er warnt.
Wie viele deiner Freunde und Familie wissen den das dies möglich ist.
Ein Bruchteil.

Wenn das durch die Presse geht, bekommt es jeder mit.
Daher Top.

Das sehe ich auch so, nicht jeder Anwender ist sich dieser potenziellen Gefahr bewusst.
0
jens-ulrich
jens-ulrich25.09.14 10:29
Bei den externen Software-Tastatur-Apps warnt Apple sogar davor, dass die Hersteller alles inkl. Kennwörter mitlesen können. Warum kann man so was nicht verhindern?
0
thokon25.09.14 10:35
Für 1Password ist dieser Weg witzlos, da man der App ja alle Zugangsdaten absichtlich und freiwillig mitteilt. Schließlich ist 1Password als zentraler digitaler Passworttresor gedacht.

Wozu sollte man die im 1Passwort Tresor enthalten Authentifizierungsdaten nach Übermittlung an den In-App-Browser versuchen abzufangen, wenn man diese doch eh schon in der App hat und bei Böswilligkeit - diese direkt und vom Nutzer aufbereitet - stehlen könnte?

Wobei ich diese Weg noch im Sinne von 1Password-Integration vermisse. Am Desktop erkennt 1Password ob ich die im Browser eingegebenen Authentifizierungsdaten bereits im Tresor hinterlegt habe, bei iOS Safari und In-App-Browser leider nicht, so dass diese immer manuell am iOS-Device in die App einzupflegen sind.
StorageBase.de
0
ExMacRabbitPro25.09.14 10:36
jens-ulrich
Bei den externen Software-Tastatur-Apps warnt Apple sogar davor, dass die Hersteller alles inkl. Kennwörter mitlesen können. Warum kann man so was nicht verhindern?

Bei den 3rd party tastaturen ist ein ein "Feature". So will Apple die Möglichkeit geben die eingegebenen Informationen auszuwerten um ggf. intelligente Eingabevorschläge zu machen.
Ich halte das für fragwürdig. Werde mir jedenfalls keine andere Tastatur installieren, Es sei denn, ich habe sie selbst programmiert...
0
JackBauer
JackBauer25.09.14 10:39
jens-ulrich
Bei den externen Software-Tastatur-Apps warnt Apple sogar davor, dass die Hersteller alles inkl. Kennwörter mitlesen können. Warum kann man so was nicht verhindern?

Weil es die Funktionalität einschränkt. Für Features wie intelligente Autovervollständigung an Hand eines persönlichen Profils über alle Geräte muss Wohl oder Übel alles mitgelesen werden und da es aufwendig ist Kennwörter nicht mitzulesen (Felderkennung) wird das ganz einfach gemacht. Gleiches gilt häufig auch für Wörterbücher, die gern online abgeglichen werden. Zwar überprüft Apple die Apps, aber eine Garantie will man da nicht übernehmen.

Es gibt aber auch Tastaturen die nicht online gehen. So viel ich weiß zB die Appleeigene

PS: ExMacRabbitPro war schneller^^
0
ExMacRabbitPro25.09.14 10:39
W164122
Wäre bei 1Passwort ja dann auch so ?

Scherzkeks! Denk doch mal nach... Welchem Programm vertraust Du denn deine GESAMTEN Passwörter an? Ja, richtig! Und was könnten die damit machen? Auch richtig - alles was sie wollen. Da ist die Eingabe in deren build-in Browser sicher noch das geringste Problem, oder?
0
Dirk J25.09.14 10:39
Ist doch ein alter Hut.
0
nowMAC25.09.14 11:12
jens-ulrich
Bei den externen Software-Tastatur-Apps warnt Apple sogar davor, dass die Hersteller alles inkl. Kennwörter mitlesen können. Warum kann man so was nicht verhindern?

Weil man ansonsten auch die Funktionalität einschränken würde. Das hat Apple ja die letzten Jahre gemacht. Android hingegen erlaubt einfach alles.

Apples Weg jetzt ist ein guter Kompromiss. Es gibt halt den eingeschränkten Fall (der Sicher ist) und den (mit mehr Funktionalität) bei dem der User die Warnung erhält und zustimmen muss. So ist klar, dass ein Vertrauensverhältnis vorliegen muss (genauso wie wenn ich einen anderen Browser nutze).
Ne Ne, seit Steve Jobs nicht mehr da ist....
0
W164122
W16412225.09.14 11:40
ExMacRabbitPro
W164122
Wäre bei 1Passwort ja dann auch so ?

Scherzkeks! Denk doch mal nach... Welchem Programm vertraust Du denn deine GESAMTEN Passwörter an? Ja, richtig! Und was könnten die damit machen? Auch richtig - alles was sie wollen. Da ist die Eingabe in deren build-in Browser sicher noch das geringste Problem, oder?

Nein. Tue ich nicht. Kenne das Programms nur vom lesen, deswegen interessiert mich das
*apple* ...... vom iPhone 1 über iMac Blueberry bis zum Powermac G5 ....von OSX 9 bis Lion *apple*
0
Joe12
Joe1225.09.14 11:54
jens-ulrich
Bei den externen Software-Tastatur-Apps warnt Apple sogar davor, dass die Hersteller alles inkl. Kennwörter mitlesen können. Warum kann man so was nicht verhindern?
Bei Passwort eingaben z.b. in Safari sind Dritt-Anbieter Tastaturen deaktiviert.
0
Dirk J25.09.14 12:22
Was hat das mit der Tastatur zu tun? Ich könnte auch Passwörter mitlesen wenn die normale Tastatur benutzt wird indem ich die Eingaben per Javascript an die App schicke und diese dann die Passwörter an einen Server schickt.

stringByEvaluatingJavaScriptFromString
0
Joe12
Joe1225.09.14 12:37
Dirk J
Was hat das mit der Tastatur zu tun? Ich könnte auch Passwörter mitlesen wenn die normale Tastatur benutzt wird indem ich die Eingaben per Javascript an die App schicke und diese dann die Passwörter an einen Server schickt.

stringByEvaluatingJavaScriptFromString
Ich bezog mich in meinem Kommentar nur auf jene-ulrichs aussage warum Apple nicht verhindert das Dritt-Anbieter Tastaturen Passwörter mitlesen kann. Genau das verhindert Apple nämlich.
0
MCDan25.09.14 13:44
Ich erkenne oder verstehe das Problem nicht wirklich. Wenn ich der Entwickler der App bin, dann komme ich auch so an diese Daten, da diese ja in TextFelder in der App eingegeben werden, auf welche direkt zugegriffen werden kann und wird. Warum sollte man dafür also extra einen WebView verwenden, um diese Daten abzugreifen?
0
Dirk J25.09.14 16:02
MCDan
Ich erkenne oder verstehe das Problem nicht wirklich. Wenn ich der Entwickler der App bin, dann komme ich auch so an diese Daten, da diese ja in TextFelder in der App eingegeben werden, auf welche direkt zugegriffen werden kann und wird. Warum sollte man dafür also extra einen WebView verwenden, um diese Daten abzugreifen?

Kleines Beispiel (hab es nicht getestet)
Ich lasse jemanden in meiner App DropBox in einem WebView öffnen. Per JavaScript Injection baue ich in die DropBox login Seite mein eigenes JavaScript ein was alle Tasteneingaben an meine App übergibt und schon hab ich deinen Benutzernamen und dein Passwort für DropBox.

Wie gesagt das sollte theoretisch funktionieren. Müsste ich aber selber erst mal testen.
0
jens-ulrich
jens-ulrich25.09.14 16:37
Ist ein eigener Thread zum Thema, da ich die Meinung von nowMAC und Joe12 leider widersprechen muss.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.