MACNOTES

Veröffentlicht am  30.11.10, 11:40 Uhr von  

Mobile Safari: Phishing-Möglichkeit durch UI-Spoofing

SafariFake-Webseiten zum Abgreifen persönlicher Daten kennt man – der Spaß wird schnell teuer, wenn Onlinebanking- oder Payment-Portale täuschend echt nachgeahmt und dem User per Spam oder Trojaner untergejubelt werden. Auf dem Mobile Safari sind die Möglichkeiten angesichts der wegscrollbaren Adresszeile des Browsers noch besser, ein Proof of Concept wurde nun von Nitesh Dhanjani vorgestellt.

Die Vorgehensweise: eine “Fake-Adresszeile” kann auf der Webseite selbst per HTML eingebaut und dem User angezeigt werden. Diese verhält sich wie die “wegscrollende” echte Adresszeile des Mobile Safari auf dem iPhone und kann somit zur Täuschung des Users verwendet werden.

Das Problem: Platz auf den Mobilgeräten und ihren kleinen Screens ist knapp, jede Webseiten-Applikation gewinnt an Bedienkomfort durch den zusätzlichen Raum, der durch die wegscrollende Browser-Bar entsteht. Apple selbst ist sich des Problems bewusst, man sieht jedoch auch (noch) nicht eine einleuchtende und benutzerfreundliche Möglichkeit, hier die Verwechslungssicherheit zu erhöhen. Dhanjani dazu:

“Ich habe Apple in der Sache kontaktiert und ihnen sind die Implikationen bekannt, aber sie wissen noch nicht, wie und wann sie der Angelegenheit begegnen.”

Ein Lösungsvorschlag Dhajanis: Apple sollte eine Möglichkeit schaffen, die aktuelle Browseradresse in der Statusbar anzuzeigen, auch wenn die URL-Eingabezeile weggescrollt ist. Damit könnte für den User sichtbar werden, wenn er sich auf einer Seite befindet, die per UI-Fake versucht, sich als eine andere Seite auszugeben.

Bis dahin ist man auf jeden Fall gut beraten, insbesondere bei Payment- und Bankingdiensten sowie ähnlich missbrauchsanfälligen Services achtsam zu sein, wie man die Seite öffnet und woher der jeweilige Link stammt – ob mobil oder am Desktop.

 Und wie ist deine Meinung?  Schreib uns einfach!

 6 Kommentar(e) bisher

  •  user1 sagte am 30. November 2010:

    Nun, diese Bedrohung hält sich ja in Grenzen. Durch euren o.a. Text nahm ich zunächst an, man könne per HTML in der echten Browseradressleiste mit einer falschen manipulierten Adresse alles überschreiben. Das wäre bei weitem Gefährlicher.

    Wenn man von unterwegs wirklich Wichtiges erledigen muss, sollte aber so viel Aufmerksamkeit und Gründlichkeit drin sein, nach oben zu scrollen. Das unterlassen viele Benutzer freilich und so einem Defizit kann man nicht technisch entgegenwirken. Verantwortungsbewusste Banken bieten Tutorials an, wie ihre Werkzuege zu benutzen sind – das sollten vielleicht alle tun, und zwar obligatorisch.

    Antworten 
  •  rj sagte am 30. November 2010:

    Pflichte ich bei, soziale bzw. dummheitsbedingte Probleme lassen sich weder mit Technik noch Geld erschlagen. im konkreten Fall ist beispielsweise gerade in den Tutorials zur Webanwendung eben empfohlen, die Browserzeile zu checken – was eben nicht unbedingt ausreicht.

    Antworten 
  •  @superglide sagte am 30. November 2010:

    RT @Macnotes: Mobile Safari: Phishing-Möglichkeit durch UI-Spoofing http://macnot.es/53549

    Antworten 
  •  user1 sagte am 30. November 2010:

    So hart würde ich das nicht formulieren. Die Banken fördern diese Bequemlichkeiten und Fahrlässigkeiten, damit sie die Kundschaft mit den banalen Alltagsvorgängen (Überweisungen, Daueraufträgen, Kontoauszügen etc.) nicht dauernd in der Bude haben. Sicher und Bequem sind aber Gegensätz und lassen sich nie vereinabren.

    Darüber aufzuklären und einen Sorgfaltspegel zu fördern, tun nur die wenigsten Banken. Umgekehrt, sie pflegen daher den Mythos “sorglos online” und raten selbst zum Einsatz unsicherer Browser wie IE.. ‘Ist ja Standard, also können wir da nichts falsch machen.’

    Antworten 
  •  rj sagte am 30. November 2010:

    hehe :o) Nun ja, die pessimistischere Sicht diesbezüglich pflege ich schon aus Gründen. Inhaltlich mag ich dir aber nicht groß widersprechen – die Banken trifft da schon auch einiges an Mitschuld. Da sprichst du selber einige Punkte an, ich mag noch ergänzen, dass meines Wissens nach nichts wirklich belastbares in Sachen Größenordnung von Zahl und Volumen der tatsächlichen Schadensfälle etc. bekannt ist. Da ist das Interesse insbesondere zu zeigen, dass Onlinenbanking *sicher ist* und *nichts, aber auch gar nichts* passieren kann. Die Realität wird anders aussehen, und da ist allen beteiligten nicht an Öffentlichkeit gelegen. Die geschädigten, weil man ja schon doof dasteht, die Banken, weil man sie für unsicher halten wird.

    Antworten 
  •  lawyn sagte am 1. Dezember 2010:

    Ich stimme euch zu. Ich unterlasse es einfach unterwegs “mal eben” Bankgeschäfte zu tätigen. Ich glaube es schmerzt keinen, wenn ich mit einer Überweisung warte bis ich wieder zuhause bin. Früher ging es schließlich auch per Post und das dauerte wohl noch länger.
    Aber:
    Ist es nicht wahrscheinlicher, dass diejenigen, die ihre Bankgeschäfte unbedingt unterwegs mit einem iPhone erledigen müssen, sich dafür die App ihrer Bank herunterladen?? ;-)

    Antworten 

Kommentar verfassen

 0  Tweets und Re-Tweets
       0  Likes auf Facebook
         0  Trackbacks/Pingbacks
          Werbung
          © 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de