In der Kamera-App von iOS gibt es eine neue Sicherheitslücke. Das hat Roman Müller, Sicherheitsforscher von Infosec, entdeckt. Eine mit iOS 11 eingeführte Funktion zum Scannen von QR-Codes macht zwar die Installation einer separaten Scan-App überflüssig, ist zugleich aber für Spoofing anfällig.
Gemäß Roman Müller können speziell veränderte QR-Codes mit Links zu Websites dazu führen, dass iOS eine andere URL anzeigt als die, die eigentlich im QR-Code hinterlegt ist und anschließend aufgerufen wird. So wird es Angreifern möglich, Nutzern damit falsche Adressen vortzuäuschen und sie auf manipulierte Webseiten zu locken.
Sobald die Kamera des iPhones einen QR-Code erkennt, erscheint eine Meldung mit der Adresse des Links. Es wird ein Vorschlag ausgegeben, die angezeigte Seite in Safari zu öffnen. Die Sicherheitsforscher haben jedoch das System ausgetrickst, indem sie einen QR-Code dahingehend veränderten, dass die hinterlegte Adresse in der Benachrichtigung als faceebook.com angezeigt wird. In dem von Mueller gewählten Beispiel wird jedoch nicht „Facebook.com“ aufgerufen, sondern die eingebettete URL „
Müller beschreibt den Sachverhalt wie folgt: „Der URL-Parser der Kamera-App hat ein Problem, den Hostnamen in der URL genauso zu erkennen wie Safari. Wahrscheinlich erkennt sie ‚xxx\‘ als Nutzernamen, der an ‚facebook.com:443‘ geschickt werden soll. Safari scheint indessen den kompletten String ‚xxx\@facebook.com‘ als Nutzernamen und ‚443‘ als das Passwort für infosec.rm-it.de zu nehmen. Das führt dazu, dass ein anderer Hostname in der Benachrichtigung angezeigt als tatsächlich in Safari geöffnet wird.“ Die Fehlerquelle liegt also darin, dass die Kamera-App nach dem Scan des QR-Codes lediglich den Hostnamen der gescannten Adresse ausgibt und sich somit URLs so manipulieren lassen, dass die Erkennung auf dem iPhone den falschen Teil der Adresse als Hostname ausgibt.
Dem Sicherheitsforscher zufolge weiß Apple bereits seit 23. Dezember 2017 von der Sicherheitslücke. Der Bug sei bis einschließlich 24. März 2018 nicht behoben worden. Wer allerdings weiterhin QR-Codes unter iOS 11 auslesen möchte, sollte daher vorerst auf eine App eines Drittanbieters zurückgreifen.
Quelle; tarnkappe
Gemäß Roman Müller können speziell veränderte QR-Codes mit Links zu Websites dazu führen, dass iOS eine andere URL anzeigt als die, die eigentlich im QR-Code hinterlegt ist und anschließend aufgerufen wird. So wird es Angreifern möglich, Nutzern damit falsche Adressen vortzuäuschen und sie auf manipulierte Webseiten zu locken.
Sobald die Kamera des iPhones einen QR-Code erkennt, erscheint eine Meldung mit der Adresse des Links. Es wird ein Vorschlag ausgegeben, die angezeigte Seite in Safari zu öffnen. Die Sicherheitsforscher haben jedoch das System ausgetrickst, indem sie einen QR-Code dahingehend veränderten, dass die hinterlegte Adresse in der Benachrichtigung als faceebook.com angezeigt wird. In dem von Mueller gewählten Beispiel wird jedoch nicht „Facebook.com“ aufgerufen, sondern die eingebettete URL „
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, die den Nutzer zu Müllers Blog „infosec.rm-it.de“ führt. Bei unachtsamen Usern wäre es auf diese Weise möglich, sie auf unseriöse Seiten zu locken, die vorgeben, echte Seiten zu sein. Durch manipulierte QR-Codes könnten Kriminelle den Bug so ausnutzen, um etwa Zugangsdaten abzugreifen.Müller beschreibt den Sachverhalt wie folgt: „Der URL-Parser der Kamera-App hat ein Problem, den Hostnamen in der URL genauso zu erkennen wie Safari. Wahrscheinlich erkennt sie ‚xxx\‘ als Nutzernamen, der an ‚facebook.com:443‘ geschickt werden soll. Safari scheint indessen den kompletten String ‚xxx\@facebook.com‘ als Nutzernamen und ‚443‘ als das Passwort für infosec.rm-it.de zu nehmen. Das führt dazu, dass ein anderer Hostname in der Benachrichtigung angezeigt als tatsächlich in Safari geöffnet wird.“ Die Fehlerquelle liegt also darin, dass die Kamera-App nach dem Scan des QR-Codes lediglich den Hostnamen der gescannten Adresse ausgibt und sich somit URLs so manipulieren lassen, dass die Erkennung auf dem iPhone den falschen Teil der Adresse als Hostname ausgibt.
Dem Sicherheitsforscher zufolge weiß Apple bereits seit 23. Dezember 2017 von der Sicherheitslücke. Der Bug sei bis einschließlich 24. März 2018 nicht behoben worden. Wer allerdings weiterhin QR-Codes unter iOS 11 auslesen möchte, sollte daher vorerst auf eine App eines Drittanbieters zurückgreifen.
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Quelle; tarnkappe
