Sicherheitsspezialist demonstriert UI-Spoofing in Safari unter iOS
Sicherheitsspezialist Niets Dhanjani hat eine mögliche Sicherheitslücke in der UIWebView Klasse des iOS aufgespürt. Über die besagte Klasse, die auch Safari selbst nutzt, ist der
Aufruf von Webseiten direkt aus einer App möglich, ohne vorher in einen Browser wechseln zu müssen. Das Problem dabei sei aber, dass sich direkt nach dem Ladevorgang einer Seite die URL-Leiste automatisch aus dem Sichtfeld verschieben lässt.
Platziert man nun direkt am Kopf der Seite einen entsprechenden Screenhot einer URL-Leiste, ist die Manipulation gerade bei schnellen Ladevorgängen kaum zu bemerken. Dhanjani demonstriert auf seiner Seite mit Hilfe eines kurzen Videos, wie sich die Sicherheitslücke in der Praxis äußern kann. Man muss schon sehr genau hinsehen um überhaupt zu bemerken, dass die eigentliche URL-Leiste aus dem Sichtbereich verschoben wurde.
Weiterführende Links: