25. September 2014

Michael Kammler

Sicherheitsrisiko: Entwickler warnt vor der Nutzung von In-App Browsern

Twitterriffic Entwickler Craig Hockenberry warnt in einem aktuellen Blogeintrag vor der Nutzung von In-App Browsern mit dem iOS Gerät. Die zunächst als "sicher" deklarierten Browser stellen ein Sicherheitsrisiko dar. In einem Video veranschaulicht der Entwickler die Problematik. Schließlich sind In-App Browser in der Lage alles, was eingetippt wird, also auch Passwörter, aufzeichnen zu können. Kriminelle Energien hätten somit leichtes Spiel an Passwörter und weitere sensible Nutzerdaten zu gelangen. Diese bräuchten lediglich eine App mit einem In-App Browser entwickeln um künftig die Passwörter und Login-Daten der Nutzer mitschneiden zu können.
In-App Browser
In-App Browser werden von vielen Apps unterstützt und sollen es dem Nutzer einfacher machen sich beispielsweise mit einem bereits vorhandenen Facebook- oder Twitteraccount, innerhalb der Anwendung, einloggen zu können. Wie Craig Hockenberry festhält, lauert hier jedoch auch eine Gefahr. Die Akquirierung von Nutzernamen und Passwörtern ist dem Experten zufolge bereits seit iOS 7 und auch älteren Versionen möglich. Es handelt sich bei dem gezeigten Prozess auch keinesfalls um einen Bug. Die im Video demonstrierte Technik kann für gute aber auch böse Zwecke zum Einsatz kommen. Um dieses Sicherheitsproblem lösen zu können, müsste Apple laut Hockenberry Änderungen im WebKit und bei der UIWebView vornehmen. Die Folge wären dann Updates für jede iOS Version, die Safari und WebKit unterstützt. Künftige Schutzmaßnahmen könnten dem Entwickler zufolge jedoch Sicherheitsmaßnahme im Sinne von oauth.net darstellen.

Hockenberry stuft Apples Safari-Browser als einzige sichere Anwendung ein. Bei den restlichen Anwendungen rät der Experte von der Eingabe sensibler Nutzerdaten ab. Weitere Informationen zu OAuth und den Sicherheitsdefiziten bei In-App Browsern, könnt ihr im originalen Blogpost noch einmal nachlesen.

https://www.youtube.com/watch?v=2Bl-pJBHYuc

via macrumors

Weitere Artikel

iOS 8.0.1: Apple veröffentlicht Hilfedokument und verspricht Update

Nokia neckt Siri: Neue Werbespots mit Sprachassistent Cortana

12 Gedanken zu „Sicherheitsrisiko: Entwickler warnt vor der Nutzung von In-App Browsern“

    • warum soll safari sicherer sein ? und heisst das ich sollte in chrome kein pws eingeben?aber das ist doch kein inapp browser. und können die von 1password auch meine pws lesen, wenn ich deren webbrowser nutze?? fragen über fragen
  4. Aber so langsam öffnet sich das System. Passt mit den Browsern auf, passt mit den Tastaturen auf. Das nervt mich immer mehr. Ich hoffe die Uli und der Fragezeichen Mann liest das nicht der Kritik und eigene Meinung anderer nich toleriert.
    • Einerseits hast du natürlich recht, aber andererseits hat das mit den Browsern nichts mit einem offenen System zu tun. Das war schon immer (zumindest solange es WebKit gibt, ich glaube noch vor iPhone OS 3) so. Die Tastaturen werden sowieso nur Nutzer verwenden. Android war von Anfang an sehr offen und Google versucht (kommt mir zumindest so vor) momentan das ganze etwas sicherer und geschlossener zu machen, hat aber immer noch den Ruf komplett offen und anfällig zu sein. Bei iOS ist es andersherum: Am Anfang ein sehr geschlossenes System, ohne Drittanbieterapps, mittlerweile schon im Vergleich recht offen, hat aber immer noch den Ruf eines sehr geschlossenen und sicheren Systems.
      • @GF: stellt sich die Frage, wie lange die Sicherheit des „geschlossenen Systems“ speziell bei iOS 8x noch gewährleistet ist??
    • Kein Browser ist so an sich sicher, da dem Browser alle Eingaben übermittelt werden müssen (Auch z. B. Firefox auf dem PC!), aber ich glaube 1Password zeichnet die Eingaben nicht auf.

Die Kommentare sind geschlossen.