Das iPhone hat ein Phishing-Leck
Ein israelischer Sicherheitsexperte warnt Anwender des aktuellen iPhones 3G: Der installierte Safari-Browser und die Mail-Software haben eine Schwachstelle, über die man leicht zu einem Phishing-Opfer werden kann.
Zwei Wochen ist das iPhone nun verfügbar, da wird es Zeit für die erste Sicherheitslücke. Der israelische Security-Experte Aviv Raff schägt Alarm. Auf seiner Homepage warnt er »iPhone is Phishable and Spamable«.
Genaues verrät Raff nicht, um Hackern keine Steilvorlage zu liefern. Apple soll über die Lücke im Mailprogramm und im Safari-Browser schon informiert sein. Demnach soll sich das iPhone recht sorglos verhalten, wenn es um manipulierte Webadressen innerhalb von E-Mails geht. Lauf Raff werden korrekte Domainnamen — beispielsweise von Banken oder Bezahldiensten — angezeigt, obwohl es sich dabei offensichtlich um Phishing-Adressen handelt. Auch Safari bleibt arglos, wenn man vom E-Mail-Programm aus auf solche Webseiten geleitet wird. Betroffen sind die Firmware-Versionen 1.1.4 und 2.0 — zu finden auch auf dem iPod Touch —, unter Umständen sollen auch frühere Varianten anfällig sein.
Auch einen Fehler im Programm-Design will Raff entdeckt haben. Der soll schuld daran sein, dass iPhone-Anwender zumindest in den USA mit heftigen Spam-Attacken zu kämpfen haben. Zwei Tipps hat der Sicherheitsmann parat: Bis Apple die Lücken schließt solle man einerseits Webadressen direkt im Browser eingeben und andererseits möglichst auf das Mail-Programm verzichten.
Mehr zum iPhone bei Tom’s Hardware:
- iPhone: Pwnage Freischaltsoftware jetzt auch für Windows
- Altes iPhone aufpoliert: Firmware 2.0 freischalten
- iPhone: Jailbreak-Software Pwnage zum Download
- Intel Atom in 32 nm - bereit für iPhone Ultra
- Geschäfte per iPhone abwickeln
- Ist das iPhone bereit fürs Business?
- Vorstellung iPhone 3G: Taschencomputer stets online
- Übersicht iPhone 3G: Spiele-Konsole mit Office-Anbindung
- Auch Audi ist nun iPhone-Ready
- Apple iPhone: Firmware 1.1.3 gehackt
- Drahtlos-HD soll 2009 kommen
- Auch TakeMS bringt DDR3-Speicher
- Knol: Google startet Wissensplattform
- iPhone: Pwnage Freischaltsoftware jetzt auch für Windows
- Enorme Zunahme legaler Musikdownloads
- Microsoft: Millionenschwere Kampagne für Vista
- T-Mobile: Zahlen – auch ohne iPhone
- Centrino 2: Asus legt nochmal nach
- Trotz Akku-Problem: Bald Boom von Elektro-Autos?
- Infineon baut drastisch Stellen ab
- Corsair Dominator: Flinker DDR3-RAM
- Business: Immer noch keine Lust auf Vista
- Tragbarer Mini-Fernseher Hauppauge myTV
- RealPlayer wird wieder verarztet
- Kraft und Präzision: Sonys 7.1-Kanal-AV-Receiver STR-DG820
- Cuil: Ernsthafte Google-Konkurrenz?
- T-Mobile-iPhone: Sipgate schlägt zurück
- Colorful Tech mit extravagantem Gehäuse
cool, man solle lieber auf eines der hauptargumente bei neuem iphone verzichten(Mail Dienst), bis apple denn fehler behoben hat
[Apple-Flame on]
Man sollte lieber ganz auf das iPhone verzichten. =)
[Apple-Flame off]
Was mich ankotzt ist, dass das iPhone mit ganz normalen Problemen zu kämpfen hat, das aber an die große Glocke gehangen wird, weil es eben das... entschuldigung, ich meine: !!DAS!! iPhone!!111 ist.
Oder man klickt einfach keine Links in eMails an (so halte ich es bei sensiblen Websites auch am Rechner).
@momo2k: apple stellt ihr geschöpf doch selbst als so übermäßig gut da, und auch gerade den so toll gelungenen browser/internetmöglichkeiten, wenn man sich so aus dem fenster lehnt muss man auch damit rechnen beobachtet zu werden und gegebenenfalls kritik einstecken
Und deine Ausführung hatte jetzt welches Ziel?
Zu rechtfertigen, dass Apple harte Kritik braucht und diese ganzen iPhone News nicht übertrieben viele sind?^^
Ich würde gerne eine iPhone-Quote bei THG anregen.
Der Anteil der iPhone News an allen News darf 5% nicht überschreiten.^^
Als ob die übrigen Handyhersteller ihre Spitzenmodell nicht auch als das Non-Plus-Ultra bewerben würden. Wer Online-Banking über ein anderes System als HBCI abwickelt muss sich immer der Phishing-Gefahr bewusst sein. Ich würde jedenfalls nicht auf die Idee kommen, mittels Pin/Tan Verfahren über ein Mobiltelefon Online-Banking zu betreiben. Dagegen spricht, dass man entweder die Pin/Tan Liste zur Verfügung haben muss bzw. sie auf dem Mobiltelefon abspeichern muss und so ein Handy ist ja nun mal schnell geklaut. Wer so sensible Daten wie Bankzugangsdaten auf dem Handy speichert ist selbst Schuld! Auf meinem Handy gibts auch keine EC-Karten Pincodes wie bei vielen anderen. Ein System ist immer nur so sicher, wie sich der Anwender darum kümmert.
@SonOfNyx: Da hilft nur TANs auswendig lernen!
Das mTAN-Verfahren wurde nie dazu geschaffen, damit man es beim Online-Banking vom Mobiltelefon aus nutzt. Das Ziel war, zwei unabhängige Wege zu benutzen, um die TAN zum Empfänger zu bekommen. Beim iPhone ist das nicht mehr gegeben, weil die beiden Wege durch eben dieses Gerät schon vor der Handhabe durch den Nutzer schon wieder zusammen finden. Das Dumme ist nur: Die Nutzer werden darübr nicht informiert. Und wer erwartet schon von einem Mac-User, sich mit so etwas auszukennen?
Jetzt hört doch mal mit dem Mac-User-Bashing auf ... ich nutze selbst einen und beweise damit wohl eindeutig, dass es auch Mac-User gibt, die sich um Datensicherheit Sorgen machen.
Das hat doch nicht mit Mac-User-Bashing zu tun. Ich wäre trotz meiner fachlichen Vorbildung auch spontan nicht auf die Idee gekommen, dass in diesem Fall die Vereinigung von Mobilfon und PC ein Problem darstellt.
Der großartige, von allen IT Leuten vergötterte head of it security incoming and outgoing manager of business security Max Mustermann hat gestern Abend eine Dose Ravioli gegessen und sich dazu sogar noch eine Schüssel Reis zubereitet während er einfach keine URL von unseriösen Absendern geöffnet hat auf seinem iPhone.
Isnt it amazing?
Bild-Niveau
Solange Javascript im Browser nicht deaktiviert ist hilfts auch nicht E-Mail-Anhänge zu öffnen.
Ein Browser wird heutzutage nicht mehr über E-Mails infiziert sondern über Webseiten. Bei den letzten Fishing-Attacken halfs auch nicht mehr per Hand die url in den Browser einzutragen, dieser zeigte die korrekte Seite an aber leitete auf einen Fishing-Server um durch den infizierten Browser.