{"id":82735,"date":"2015-06-09T18:24:58","date_gmt":"2015-06-09T16:24:58","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=82735"},"modified":"2015-06-10T09:01:18","modified_gmt":"2015-06-10T07:01:18","slug":"ios-8-3-e-mail-schwachstelle-kann-kennwoerter-abzapfen","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/ios-8-3-e-mail-schwachstelle-kann-kennwoerter-abzapfen-82735\/","title":{"rendered":"iOS 8.3: E-Mail-Schwachstelle kann iCloud-Kennw\u00f6rter abzapfen"},"content":{"rendered":"

Wenn euch die Mail-App des iPhones beim Lesen neuer Zuschriften mal wieder mit einer iCloud-Passwort-Abfrage nerven sollte, dann pr\u00fcft den eingeblendeten Dialog lieber zwei mal! Im schlechtesten Fall k\u00f6nntet ihr das Opfer einer Phishing-Attacke sein.<\/p>\n

\"mail-app\"<\/a><\/p>\n

So beherbergt die E-Mail-App des iPhone-Betriebssystems seit mehreren Monaten einen Fehler, der die automatische Einblendung falscher Passwort-Abfragen erm\u00f6glicht.<\/p>\n

Die Hintergr\u00fcnde sind schnell erkl\u00e4rt: So akzeptiert die Mail-App gesetzte HTML-Tags die das Nachladen externer Inhalte erm\u00f6glichen (etwa <meta http-equiv=refresh><\/a>) und so auch Javacsript-Code ausf\u00fchren k\u00f6nnen, der die Passwort-Abfrage authentisch erscheinen l\u00e4sst.<\/p>\n

Nach Angaben des Entwicklers Jan Sou\u010dek<\/a>, der den Code zum Ausnutzen der Schwachstelle auf GitHub publiziert hat<\/a>, existiert der Fehler bereits seit rund einem halben Jahr und wurde auch an Apple gemeldet – eine Reaktion aus Cupertino l\u00e4sst jedoch noch immer auf sich warten.<\/p>\n

Sou\u010dek demonstriert den automatisierten Angriff in dem unten eingebetteten, bislang privaten Youtube-Video, das nun f\u00fcr alle Interessierten Besucher des Video-Portals verf\u00fcgbar ist und will so den Druck auf Apples Security-Abteilung erh\u00f6hen. Der Fehler l\u00e4sst sich seit 8.1.2 ausnutzen. Danke Marius.<\/p>\n