Abo
  • Services:
Anzeige
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen.
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen. (Bild: Apple)

Captive-Portals: Das iPhone verrät Cookies

Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen.
Mit Hilfe manipulierter Captive-Portals konnten Angreifer Daten aus dem Safari-Cookie-Store auslesen. (Bild: Apple)

Die Nutzung von WLANs mit Captive-Portals kann für iPhone-Nutzer zur Sicherheitsgefahr werden. Einen entsprechenden Bug haben israelische Sicherheitsforscher gefunden. Apple hat die Sicherheitslücke mittlerweile behoben.

Ein Fehler im Management des iOS-Cookie-Speichers ermöglicht es Angreifern, die Identität der iPhone-Nutzer zu übernehmen. Apple hat den von der israelischen Sicherheitsfirma Skycure gefundenen Bug (CVE-2016-1730) mit dem Update auf iOS 9.2.1 mittlerweile behoben.

Anzeige

Die Verwundbarkeit tritt auf, wenn Nutzer sich mit einem WLAN verbinden, das über ein speziell präpariertes Captive-Portal die Zustimmung zu Nutzungsbedingungen abfragt. Das Problem liegt in der Art und Weise begründet, wie iPhones mit Captive-Portals umgehen. Wird die Verbindung mit einem solchen Netzwerk hergestellt, öffnet sich automatisch der integrierte iOS-Captive-Network-Browser, der sich mit der mobilen Version des Safari-Browsers den Cookie-Speicher teilt.

Das Captive-Portal führt automatisch Code aus

Angreifer können demnach ein eigenes WLAN mit Captive-Portal aufbauen. Mit Hilfe von Karma oder Wifigate-Angriffen können sie eine automatische Verbindung mit dem WLAN erzwingen, sobald sich ein Gerät mit angeschaltetem WLAN in Reichweite befindet. Jetzt startet sich automatisch der Browser, um die Portalseite zu öffnen - und führt einen von den Angreifern präparierten Java-Script-Code aus. Mit dem Code können dann zum Beispiel die auf dem Gerät gespeicherten Cookies ausgelesen und für weitere Angriffe missbraucht werden.

Apple wurde nach Angaben der Sicherheitsforscher bereits am 3. Juni 2013 über den Bug informiert. Die Schwachstelle sei recht kompliziert zu schließen gewesen, schreiben die Sicherheitsforscher, loben aber Apples Offenheit bei der Bearbeitung der Probleme.


eye home zur Startseite
Spaghetticode 22. Jan 2016

Bei einem Captive-Portal handelt es sich stets um einen Man-in-the-Middle-Angriff. Das...

Strongground 22. Jan 2016

Ohja, das klingt wie eine sehr komfortable, untechnische und einfache Lösung. Nicht. In...

vulkman 21. Jan 2016

Ähm... meinst Du, wenn eine Site ihre Cookies auslesen könnte, wäre das ein...



Anzeige

Stellenmarkt
  1. SKF Marine GmbH, Hamburg
  2. Zühlke Engineering GmbH, Hamburg, Eschborn bei Frankfurt am Main
  3. access KellyOCG GmbH, Frankfurt-Oberursel
  4. DPD Deutschland GmbH, Aschaffenburg


Anzeige
Top-Angebote
  1. 149,99€ (Vergleichspreis 319€)
  2. 399€ (Vergleichspreis 449€)
  3. 379€ + 5,99€ Versand

Folgen Sie uns
       


  1. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  2. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  3. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  4. Elektromobilität

    In Norwegen fehlen Ladesäulen

  5. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  6. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  7. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf

  8. Sparc M8

    Oracles neuer Chip ist 40 Prozent schneller

  9. Cloud

    IBM bringt die Datenmigration im 120-Terabyte-Koffer

  10. Fire HD 10

    Amazon bringt 10-Zoll-Full-HD-Tablet mit Alexa für 160 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Skandinavien ohne Tourismus

    bplhkp | 17:09

  2. Re: "ihr gebt uns nicht absolut alles kostenlos...

    windermeer | 17:09

  3. Re: Könnte man bei uns so gar nicht hinstellen.

    Lehmroboter | 17:07

  4. Re: Chance vertan den Markt aufzumischen. (kwt)

    lerak | 17:06

  5. Re: warum ständig neue Versionen und Downloads?

    Koto | 17:05


  1. 17:01

  2. 16:46

  3. 16:41

  4. 16:28

  5. 16:11

  6. 16:02

  7. 15:50

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel