Anzeige
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen.
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen. (Bild: Apple)

Captive-Portals: Das iPhone verrät Cookies

Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen.
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen. (Bild: Apple)

Die Nutzung von WLANs mit Captive-Portals kann für iPhone-Nutzer zur Sicherheitsgefahr werden. Einen entsprechenden Bug haben israelische Sicherheitsforscher gefunden. Apple hat die Sicherheitslücke mittlerweile behoben.

Ein Fehler im Management des iOS-Cookie-Speichers ermöglicht es Angreifern, die Identität der iPhone-Nutzer zu übernehmen. Apple hat den von der israelischen Sicherheitsfirma Skycure gefundenen Bug (CVE-2016-1730) mit dem Update auf iOS 9.2.1 mittlerweile behoben.

Anzeige

Die Verwundbarkeit tritt auf, wenn Nutzer sich mit einem WLAN verbinden, das über ein speziell präpariertes Captive-Portal die Zustimmung zu Nutzungsbedingungen abfragt. Das Problem liegt in der Art und Weise begründet, wie iPhones mit Captive-Portals umgehen. Wird die Verbindung mit einem solchen Netzwerk hergestellt, öffnet sich automatisch der integrierte iOS-Captive-Network-Browser, der sich mit der mobilen Version des Safari-Browsers den Cookie-Speicher teilt.

Das Captive-Portal führt automatisch Code aus

Angreifer können demnach ein eigenes WLAN mit Captive-Portal aufbauen. Mit Hilfe von Karma oder Wifigate-Angriffen können sie eine automatische Verbindung mit dem WLAN erzwingen, sobald sich ein Gerät mit angeschaltetem WLAN in Reichweite befindet. Jetzt startet sich automatisch der Browser, um die Portalseite zu öffnen - und führt einen von den Angreifern präparierten Java-Script-Code aus. Mit dem Code können dann zum Beispiel die auf dem Gerät gespeicherten Cookies ausgelesen und für weitere Angriffe missbraucht werden.

Apple wurde nach Angaben der Sicherheitsforscher bereits am 3. Juni 2013 über den Bug informiert. Die Schwachstelle sei recht kompliziert zu schließen gewesen, schreiben die Sicherheitsforscher, loben aber Apples Offenheit bei der Bearbeitung der Probleme.


eye home zur Startseite
Spaghetticode 22. Jan 2016

Bei einem Captive-Portal handelt es sich stets um einen Man-in-the-Middle-Angriff. Das...

Strongground 22. Jan 2016

Ohja, das klingt wie eine sehr komfortable, untechnische und einfache Lösung. Nicht. In...

vulkman 21. Jan 2016

Ähm... meinst Du, wenn eine Site ihre Cookies auslesen könnte, wäre das ein...



Anzeige

Stellenmarkt
  1. Bosch Sensortec GmbH, Reutlingen
  2. Deutsche Telekom AG, Leinfelden-Echterdingen
  3. Daimler AG, Sindelfingen
  4. Amedes Medizinische Dienstleistungen GmbH, Hamburg


Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 149,99€
  3. 5,99€

Folgen Sie uns
       


  1. Passwort-Cracker

    Hashcat will jetzt auch Veracrypt knacken können

  2. Sparc S7

    Oracle attackiert Intels Xeon mit acht Kernen bei 4,27 GHz

  3. Musikstreaming

    Spotify wirft Apple Behinderung des Wettbewerbs vor

  4. Fireflies

    Günstige Bluetooth-Ohrstecker sollen 100 US-Dollar kosten

  5. Twitch

    "Social Eating" als neuer Kanal

  6. Tidal

    Apple will Streamingdienst von Jay Z kaufen

  7. Social Media

    Facebook-Nutzer müssen vorerst weiter Klarnamen angeben

  8. Xiaomi Mi Qicycle

    Elektrisches Klappfahrrad mit Smartphone-Anschluss

  9. The Mill Blackbird

    Auto verwandelt sich für Filmaufnahmen

  10. United Internet

    Festnetzbetreiber heißt jetzt 1&1 Versatel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

  1. Bitte um Aufklärung

    lawy | 11:48

  2. Re: Anhaltende Probleme beim Verbindungsaufbau...

    koki | 11:47

  3. Re: never before has a generation so diligently...

    david_rieger | 11:46

  4. Re: Auch wenn dadurch einfacher würde....

    M.P. | 11:46

  5. Re: Mammon

    robinx999 | 11:46


  1. 11:39

  2. 11:35

  3. 10:36

  4. 10:30

  5. 10:23

  6. 10:14

  7. 09:44

  8. 07:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel