Post_Detail

iOS: Sicherheitslücke in Mail erlaubt Abgreifen von Passwörtern und Logins

Photoshop

iOS: Sicherheitslücke in Mail erlaubt Abgreifen von Passwörtern und Logins

Ein Fehler in der Mail-Anwendung von iOS 8 erlaubt Angreifern mit Hilfe von HTML und CSS die Darstellung eines Login-Dialogs wie man ihn von iOS kennt.

iOS 8

Der Login-Dialog sieht der bekannten Abfrage in iOS verblüffend ähnlich, so dass manch einer den Eindruck bekommen könnte, dass dieser legitim ist. Wie The Next Web berichtet, wurde der Fehler bereits Mitte Januar von Jan Soucek bei Apple gemeldet (Radar #19479280), einen Fix gibt es bislang jedoch nicht.

Der Fehler betrifft ausschließlich die offizielle Mail.app in iOS und tritt auf, weil die App HTML-Code erlaubt, der das Nachladen von Daten ermöglicht, welche die ursprüngliche Nachricht ersetzen. Diese nachgeladenen Daten können dann dazu genutzt werden, um den bekannten Login-Dialog von iOS in HTML und CSS nachzuahmen oder auch zu tracken, ob und von wo ein Nutzer eine E-Mail geöffnet hat.

Der entsprechende Code steht bei GitHub öffentlich zum Download bereit. Damit will Soucek das Unternehmen aus Cupertino dazu bringen den Bug möglichst schnell zu fixen. Wie Ars Technica meldet, ist Apple das Problem in der Tat bekannt. Man arbeite an einem zukünftigen Software Update. Möglicherweise wird der Fix Bestandteil des nahenden iOS 8.4 sein, welches Ende Juni erscheinen wird.

Wer also in Zukunft einen derartigen Dialog in iOS beobachtet, sollte sicherstellen, dass dieser legitim ist und nicht etwa nach dem Aufruf einer Mail angezeigt wurde.

Eine Möglichkeit dies zu testen ist das Drücken des Home-Buttons. Ist es eine gefälschte Dialog-Box wird dann zum Home-Screen gewechselt, während bei einem echten Dialog ein Druck auf den Home-Button keine Wirkung hat.

Gleichzeitig wird bei einem echten Dialog die iOS-Tastatur automatisch angezeigt; beim gefälschten Dialog ist dies nicht der Fall.

Nach aktuellem Wissensstand ist ausschließlich die vorinstallierte Mail-Anwendung von dem Problem betroffen. Anwender alternativer E-Mail-Clients sind auf der sicheren Seite.