Touchlogger: iOS im Lauscheinsatz

Die Sicherheitsexperten von Fireeye Labs haben eine iOS-App entwickelt, mit der sich alle Eingaben auf der Touchscreen-Oberfläche im Hintergrund mitschneiden und an einen Server übermitteln lassen.

Artikel veröffentlicht am ,
Hintergrundaktualisierung in iOS 7 für Keylogger interessant
Hintergrundaktualisierung in iOS 7 für Keylogger interessant (Bild: Screenshot Golem.de)

Der Keylogger von Fireeye Labs offenbart eine Schwäche von iOS, bei der Anwendungen im Hintergrund als heimliches Aufzeichnungsgerät arbeiten können.

Die Sicherheitsexperten haben eine Proof-of-Concept-App entwickelt, die genau das tut. So werden Berührungen des Bildschirms mitsamt Koordinaten, die Bedienung des Homebuttons sowie die Lautstärkeregelung und die TouchID-Nutzung des iPhone 5S mitgeschnitten. Die App kann diese Events dann an einen entfernten Server schicken, wo sie sich auswerten lassen. So kann jeder Buchstabe rekonstruiert werden, den der Anwender auf dem Touchscreen eingegeben hat - inklusive Passwörtern, Pins und anderen sensitiven Daten.

Nach Angaben von Fireeye Labs funktioniert die Demo selbst auf iOS 7.0.4 auf einem iPhone 5S, das dafür keinem Jailbreak unterzogen werden muss. Auch in iOS 7.0.5, 7.0.6 und 6.1.x funktioniert der Trick, der auf den Multitasking-Fähigkeiten des Betriebssystems basiert.

Ein Angreifer müsste den Anwender dazu bringen, eine App mit der schädlichen Komponente zu installieren oder eine andere Sicherheitslücke ausnutzen, so Fireeye Labs.

Um sich zu schützen, sollten Anwender die Hintergrundaktualisierung in iOS nur Anwendungen gestatten, denen sie vertrauen. Ein Angreifer könnte sich aber eine Besonderheit von Apples mobilem Betriebssystem zunutze machen. Eine App, die im Hintergrund Musik abspielt, läuft auch, wenn ihre Hintergrundaktualisierung nicht aktiv ist. Eine App mit bösen Absichten könnte sich so tarnen.

Diese Sicherheitslücke hat mit dem SSL-Fehler von iOS 6 und 7 nichts zu tun, den Apple zum Wochenende durch ein Update schloss und die bei OS X immer noch unbehoben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Android
Millionen Smartphones über WLAN angreifbar
artikel-bild
ROBOT-Angriff
Arbeitsagentur nutzt uralte Cisco-Geräte
artikel-bild
Diebstahlgefahr
Siri schaltet mobile Daten bei gesperrtem iPhone aus
Meistgelesen
artikel-bild
Angeblicher ARD-Plan
Rundfunkbeitrag könnte auf über 25 Euro steigen
artikel-bild
Elektrifizierung von Kommunalfahrzeugen
Radnabenantrieb von Schaeffler serienreif
artikel-bild
25 Jahre Starcraft
Der E-Sport-Dauerbrenner
Kommentarübersicht
Re: Ist das nicht ein stinknormaler "Key-Logger"?
Sander Cohen 23. Mär 2014

Du wetterst nur gegen die Politik von Apple, willst aber nicht einsehen, das sie doch...

Re: Kein Jailbreak erforderlich?
kitingChris 27. Feb 2014

Und wie recht du hast beweist Sander Cohen selbst ein Stückchen weiter oben :P Nur das...

Re: Was interessiert mich Android?
Cohaagen 25. Feb 2014

Und du meinst, dass der durchschnittliche Android-Nutzer bei der App-Installation...

Aktuell auf der Startseite von Golem.de
25 Jahre Starcraft
Der E-Sport-Dauerbrenner

Vor 25 Jahren erschien mit Starcraft eines der wichtigsten und wegweisendsten Echtzeitstrategiespiele aller Zeiten. Macht der RTS-Hit von Blizzard auch heute noch Spaß?
Von Andreas Altenheimer

25 Jahre Starcraft: Der E-Sport-Dauerbrenner
Artikel
  1. Angeblicher ARD-Plan: Rundfunkbeitrag könnte auf über 25 Euro steigen
    Angeblicher ARD-Plan
    Rundfunkbeitrag könnte auf über 25 Euro steigen

    Laut einem Bericht wollen die öffentlich-rechtlichen Sender eine Anhebung des Rundfunkbeitrags auf bis zu 25,19 Euro pro Monat fordern.

  2. Acropalypse: Microsoft fixt Fehler bei Screenshot-Tools von Windows
    Acropalypse
    Microsoft fixt Fehler bei Screenshot-Tools von Windows

    Für die Windows-Versionen 10 und 11 hat Microsoft Notfallupdates bereitgestellt, um das Sicherheitsproblem bei Screenshot-Programmen zu beheben.

  3. Smart-Home-Anwendung: MQTT unter Java nutzen
    Smart-Home-Anwendung
    MQTT unter Java nutzen

    Wer Daten von Sensoren oder ähnlichen Quellen von A nach B senden möchte, kann das Protokoll MQTT verwenden, dank entsprechender Bibliotheken auch einfach unter Java.
    Eine Anleitung von Florian Bottke

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MediaMarkt-Osterangebote • 3 Spiele kaufen, 2 zahlen • Cyberport Jubiläums-Deals • Alternate: Corsair Vengeance 32 GB DDR-6000 116,89€ u. 64 GB DDR-5600 165,89€ • MindStar: AMD Ryzen 7 5800X 209€ • MSI Optix 30" WFHD/200 Hz 289€ • WD_BLACK SN850 2 TB 189€ • NBB Black Weeks [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /