Mobile Safari: Phishing-Möglichkeit durch UI-Spoofing

rj, den 30. November 2010

Fake-Webseiten zum Abgreifen persönlicher Daten kennt man – der Spaß wird schnell teuer, wenn Onlinebanking- oder Payment-Portale täuschend echt nachgeahmt und dem User per Spam oder Trojaner untergejubelt werden. Auf dem Mobile Safari sind die Möglichkeiten angesichts der wegscrollbaren Adresszeile des Browsers noch besser, ein Proof of Concept wurde nun von Nitesh Dhanjani vorgestellt.

Die Vorgehensweise: eine „Fake-Adresszeile“ kann auf der Webseite selbst per HTML eingebaut und dem User angezeigt werden. Diese verhält sich wie die „wegscrollende“ echte Adresszeile des Mobile Safari auf dem iPhone und kann somit zur Täuschung des Users verwendet werden.

Update vom 17.03.2021: Dieser Beitrag enthielt ein Video auf YouTube, das es heute so nicht mehr gibt. Deshalb haben wir es entfernt.

Das Problem: Platz auf den Mobilgeräten und ihren kleinen Screens ist knapp, jede Webseiten-Applikation gewinnt an Bedienkomfort durch den zusätzlichen Raum, der durch die wegscrollende Browser-Bar entsteht. Apple selbst ist sich des Problems bewusst, man sieht jedoch auch (noch) nicht eine einleuchtende und benutzerfreundliche Möglichkeit, hier die Verwechslungssicherheit zu erhöhen. Dhanjani dazu:

„Ich habe Apple in der Sache kontaktiert und ihnen sind die Implikationen bekannt, aber sie wissen noch nicht, wie und wann sie der Angelegenheit begegnen.“

Ein Lösungsvorschlag Dhajanis: Apple sollte eine Möglichkeit schaffen, die aktuelle Browseradresse in der Statusbar anzuzeigen, auch wenn die URL-Eingabezeile weggescrollt ist. Damit könnte für den User sichtbar werden, wenn er sich auf einer Seite befindet, die per UI-Fake versucht, sich als eine andere Seite auszugeben.

Bis dahin ist man auf jeden Fall gut beraten, insbesondere bei Payment- und Bankingdiensten sowie ähnlich missbrauchsanfälligen Services achtsam zu sein, wie man die Seite öffnet und woher der jeweilige Link stammt – ob mobil oder am Desktop.


Ähnliche Nachrichten

Passende Angebote