Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Handy - Navigation Schwachstelle im QR-Code-Reader von iOS 11 erlaubt Verschleiern von URLs

In der Kamera-App von iOS gibt es eine neue Sicherheitslücke. Das hat Roman Müller, Sicherheitsforscher von Infosec, entdeckt. Eine mit iOS 11 eingeführte Funktion zum Scannen von QR-Codes macht zwar die Installation einer separaten Scan-App überflüssig, ist zugleich aber für Spoofing anfällig.

Gemäß Roman Müller können speziell veränderte QR-Codes mit Links zu Websites dazu führen, dass iOS eine andere URL anzeigt als die, die eigentlich im QR-Code hinterlegt ist und anschließend aufgerufen wird. So wird es Angreifern möglich, Nutzern damit falsche Adressen vortzuäuschen und sie auf manipulierte Webseiten zu locken.

Sobald die Kamera des iPhones einen QR-Code erkennt, erscheint eine Meldung mit der Adresse des Links. Es wird ein Vorschlag ausgegeben, die angezeigte Seite in Safari zu öffnen. Die Sicherheitsforscher haben jedoch das System ausgetrickst, indem sie einen QR-Code dahingehend veränderten, dass die hinterlegte Adresse in der Benachrichtigung als faceebook.com angezeigt wird. In dem von Mueller gewählten Beispiel wird jedoch nicht „Facebook.com“ aufgerufen, sondern die eingebettete URL „https://xxx\@facebook.com:443@infosec.rm-it.de/“, die den Nutzer zu Müllers Blog „infosec.rm-it.de“ führt. Bei unachtsamen Usern wäre es auf diese Weise möglich, sie auf unseriöse Seiten zu locken, die vorgeben, echte Seiten zu sein. Durch manipulierte QR-Codes könnten Kriminelle den Bug so ausnutzen, um etwa Zugangsdaten abzugreifen.

Müller beschreibt den Sachverhalt wie folgt: „Der URL-Parser der Kamera-App hat ein Problem, den Hostnamen in der URL genauso zu erkennen wie Safari. Wahrscheinlich erkennt sie ‚xxx\‘ als Nutzernamen, der an ‚facebook.com:443‘ geschickt werden soll. Safari scheint indessen den kompletten String ‚xxx\@facebook.com‘ als Nutzernamen und ‚443‘ als das Passwort für infosec.rm-it.de zu nehmen. Das führt dazu, dass ein anderer Hostname in der Benachrichtigung angezeigt als tatsächlich in Safari geöffnet wird.“ Die Fehlerquelle liegt also darin, dass die Kamera-App nach dem Scan des QR-Codes lediglich den Hostnamen der gescannten Adresse ausgibt und sich somit URLs so manipulieren lassen, dass die Erkennung auf dem iPhone den falschen Teil der Adresse als Hostname ausgibt.

Dem Sicherheitsforscher zufolge weiß Apple bereits seit 23. Dezember 2017 von der Sicherheitslücke. Der Bug sei bis einschließlich 24. März 2018 nicht behoben worden. Wer allerdings weiterhin QR-Codes unter iOS 11 auslesen möchte, sollte daher vorerst auf eine App eines Drittanbieters zurückgreifen.


Quelle; tarnkappe
 
Selbst wenn Facebook aufgerufen wird, ist das keine Garantie, dass dort nichts Böses auf einen wartet. Von manipulierten Bildern mit Schadcode (gab es schon längst) über infizierte Werbung (gab es selbst bei den Profis von Heise.de) über Datenlecks (ist halt Facebook) bis zu Fehlinformationen.
 
Zurück
Oben