Apple iOS-Schwachstelle kann ausgenutzt werden, um Benutzer-ID und Passwort mit einer Phishing-E-Mail zu stehlen

Schwachstelle im Apple iOS-System ermöglicht es Hackern, Benutzer-ID und Passwort mit einer Phishing-E-Mail zu stehlen

Eine Demonstration eines Sicherheitsexperten zeigt, wie eine Anfälligkeit im Apple iOS-System ausgenutzt werden kann, um entfernte beliebige HTML-Inhalte in der Anwendung zu laden.

Anfang dieser Woche veröffentlichte Jan Soucek ( @jansoucek), ein tschechischer Forscher, Proof-of-Concept (PoC)-Code und ein Video, um seine Erkenntnisse zu belegen.

Im Januar stellte der Experte fest, dass der iOS-E-Mail-Client (Mail.app) das -HTML-Tag in E-Mail-Nachrichten nicht berücksichtigt. Dies ermöglicht es einem Hacker, E-Mails zu gestalten, die entfernte HTML-Inhalte laden, wenn sie geöffnet werden.

„JavaScript ist in diesem UIWebView deaktiviert, aber es ist dennoch möglich, einen funktionalen Passwort-‘Sammler’ mit einfachem HTML und CSS zu erstellen“, sagte Soucek.

Ein Video (siehe unten), das von dem Forscher veröffentlicht wurde, demonstriert, wie ein Hacker eine Phishing-E-Mail senden kann, die die Empfänger auffordert, ihre iCloud-Anmeldeinformationen einzugeben. Der Benutzername und das Passwort, die vom Opfer gesammelt werden, werden dann an den Hacker zurückgeschickt.

Die Benutzer haben festgestellt, dass ein solcher Angriff wahrscheinlich gegen viele Internetnutzer funktionieren wird, da es nicht ungewöhnlich ist, dass sie aufgefordert werden, ihre iCloud-Anmeldeinformationen einzugeben, und das echte Dialogfeld, das von Apple erstellt wurde, einfach reproduziert werden kann.

Soucek hat den Quellcode für ein iOS 8.3 „Inject Kit“ auf GitHub veröffentlicht. Der Experte hat darauf hingewiesen, dass dies nur eine Illustration ist, um die Existenz der Anfälligkeit zu zeigen, die auch für andere Angriffe genutzt werden kann und nicht nur für das Sammeln von Anmeldeinformationen.

„Die Schwachstelle kann für alles verwendet werden, was HTML-Tags erfordert, die von Mail.app nicht unterstützt werden“, erklärte Soucek.

Laut dem Forscher hatte er im Januar den Fehler über das Radar-Fehlerverfolgungssystem des Unternehmens Apple zur Kenntnis gebracht. Da Apple jedoch keine Maßnahmen ergriffen hat, hat er sich nun entschieden, die Anfälligkeit der Öffentlichkeit bekannt zu geben.

Obwohl Apple diese Woche die erste iOS 9 Beta und iOS 8.4 Beta 4 veröffentlicht hat, ist unklar, ob diese Versionen die Anfälligkeit beheben. Selbst wenn die Fehler behoben sind, sind diese Varianten derzeit nur für Entwickler verfügbar.

Graham Cluley, unabhängiger Sicherheitsanalyst, hat die Aufmerksamkeit aller auf den vom Forscher veröffentlichten Code gelenkt, der möglicherweise von Identitätsdieben und böswilligen Hackern gut genutzt werden könnte.

„Obwohl ich sein Frustration über Apples mangelnde Reaktion zur Behebung des Problems verstehen kann, hätte Soucek Druck auf das Unternehmen ausüben können, indem er den Fehler den Technikmedien vorführte, anstatt Exploit-Code für potenziellen Missbrauch zu veröffentlichen. Während wir auf Cupertino warten, um einen Patch bereitzustellen, wäre es am klügsten, entweder extreme Vorsicht walten zu lassen, wann immer ein unerwartetes Pop-up erscheint, während wir unser Mail-Postfach durchsehen, oder stattdessen eine Drittanbieter-E-Mail-App zu verwenden“, schrieb Cluley in einem Blogbeitrag für Tripwire.

Poc Video :