Mobile Safari unter iOS 5.1 anfällig für URL-Manipulation
kg, den 23. März 2012Mobile Safari ist unter iOS 5.1 wegen eines Exploits potentiell anfällig für URL-Manipulationen. Damit könnten dem Nutzer andere Adressen angezeigt werden als die, die zur aktuell aufgerufenen Seite gehört.
Laut David Vieira-Kurz von MajorSecurity ist die Ursache ein Fehler in der Art und Weise wie Safari die window.open()-Methode von JavaScript behandelt, die ein neues Browserfenster aufruft. Wird eine andere URL angezeigt, könnte der Nutzer dazu verleitet werden, sensitive Daten wie Kreditkartendaten u. ä. auf einer eigentlich schadhaften Internetseite einzutragen.
Das Problem konnte auf iPhone 4, iPhone 4S, iPad 2 sowie iPad 3 (alle mit dem aktuellsten iOS 5.1) nachvollzogen werden. Das niederländische Ministerium für Sicherheit und Justiz hat deshalb eine Warnung diesbezüglich herausgegeben.
Wer den Bug selbst einmal betrachten will, der kann mit seinem Mobilgerät diesen Link nutzen und den Demo-Button anklicken.