Abo
  • Services:
Anzeige
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen.
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen. (Bild: Apple)

Captive-Portals: Das iPhone verrät Cookies

Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen.
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen. (Bild: Apple)

Die Nutzung von WLANs mit Captive-Portals kann für iPhone-Nutzer zur Sicherheitsgefahr werden. Einen entsprechenden Bug haben israelische Sicherheitsforscher gefunden. Apple hat die Sicherheitslücke mittlerweile behoben.

Ein Fehler im Management des iOS-Cookie-Speichers ermöglicht es Angreifern, die Identität der iPhone-Nutzer zu übernehmen. Apple hat den von der israelischen Sicherheitsfirma Skycure gefundenen Bug (CVE-2016-1730) mit dem Update auf iOS 9.2.1 mittlerweile behoben.

Anzeige

Die Verwundbarkeit tritt auf, wenn Nutzer sich mit einem WLAN verbinden, das über ein speziell präpariertes Captive-Portal die Zustimmung zu Nutzungsbedingungen abfragt. Das Problem liegt in der Art und Weise begründet, wie iPhones mit Captive-Portals umgehen. Wird die Verbindung mit einem solchen Netzwerk hergestellt, öffnet sich automatisch der integrierte iOS-Captive-Network-Browser, der sich mit der mobilen Version des Safari-Browsers den Cookie-Speicher teilt.

Das Captive-Portal führt automatisch Code aus

Angreifer können demnach ein eigenes WLAN mit Captive-Portal aufbauen. Mit Hilfe von Karma oder Wifigate-Angriffen können sie eine automatische Verbindung mit dem WLAN erzwingen, sobald sich ein Gerät mit angeschaltetem WLAN in Reichweite befindet. Jetzt startet sich automatisch der Browser, um die Portalseite zu öffnen - und führt einen von den Angreifern präparierten Java-Script-Code aus. Mit dem Code können dann zum Beispiel die auf dem Gerät gespeicherten Cookies ausgelesen und für weitere Angriffe missbraucht werden.

Apple wurde nach Angaben der Sicherheitsforscher bereits am 3. Juni 2013 über den Bug informiert. Die Schwachstelle sei recht kompliziert zu schließen gewesen, schreiben die Sicherheitsforscher, loben aber Apples Offenheit bei der Bearbeitung der Probleme.


eye home zur Startseite
Spaghetticode 22. Jan 2016

Bei einem Captive-Portal handelt es sich stets um einen Man-in-the-Middle-Angriff. Das...

Strongground 22. Jan 2016

Ohja, das klingt wie eine sehr komfortable, untechnische und einfache Lösung. Nicht. In...

vulkman 21. Jan 2016

Ähm... meinst Du, wenn eine Site ihre Cookies auslesen könnte, wäre das ein...



Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. CSL Behring GmbH, Marburg
  3. Cura Unternehmensgruppe, Berlin
  4. medac GmbH, Wedel bei Hamburg


Anzeige
Top-Angebote
  1. 329,00€
  2. (u. a. Dark Souls III für 24,99€, Darkosuls II für 8,99€, Bioshock: The Collection für 16...
  3. 283,88€ + 5,00€ Versand (USK 18)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Aufsteckbar

    Kugelkamera für Android-Smartphones filmt 360-Grad-Videos

  2. Panamera Turbo S E-Hybrid

    Porsche kombiniert V8-Motor und E-Antrieb

  3. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  4. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  5. Deep Learning

    Wenn die KI besser prügelt als Menschen

  6. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  7. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  8. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  9. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  10. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

  1. Re: Schmeißt Bittorrent an :D

    dp2419 | 08:45

  2. Re: bidde nich:/

    DebugErr | 08:44

  3. Re: Ich vermisse die Meckerer...

    Bouncy | 08:44

  4. Re: Kauft bloß kein Smart!

    Wiesel1977 | 08:44

  5. Re: Erklärung für einen Kryptodepp

    Schattenwerk | 08:43


  1. 07:23

  2. 07:14

  3. 17:37

  4. 17:26

  5. 16:41

  6. 16:28

  7. 15:45

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel