Über eine Lücke im Safari-Webbrowser können Hacker vertrauliche Nutzerdaten abgreifen. Einer Untersuchung zufolge ist die Apple-Sicherheit auch sonst alles andere als preisverdächtig.
Es ist eine komfortable Funktion, die jetzt zur Falle werden könnte: Die Möglichkeit, seinen Browser wiederkehrende Formulare wie die Mailadresse ausfüllen zu lassen, wird für Safari-Nutzer zum ungewollten Sicherheitsrisiko.
Anzeige
Wie Jeremiah Crossman, Cheftechniker von White Hat Security, berichtet, können die Auto-Complete-Daten über JavaScript abgefragt werden. Das funktioniert, wenn Nutzer präparierte Webseiten besuchen, auf denen sichtbar oder unsichtbar Felder wie Name, E-Mail-Adresse, Kreditkartennummer angegeben sind. Das Schadscript gibt dann verschiedene Anfangsbuchstaben ein, die vom Browser bei aktivierter Vervollständigungsfunktion ergänzt werden.
Wenn ein Nutzer markiert hat, die Daten aus seinem Adressbuch für die Auto-Vervollständigung zu nutzen, können sich Privatadresse und Arbeitsadresse unter den ausgelesenen Daten befinden. Das Problem tritt in den Safari-Versionen 4 und 5 auf, eine ähnliche Lücke weist der Internet Explorer in den Varianten 6 und 7 auf.
Inzwischen hat Apple angekündigt, an der Behebung des Problems zu arbeiten. Crossman hatte zuvor geklagt, der Konzern habe auf Hinweise in den vergangenen Wochen nicht reagiert.
Obwohl sich Apple als sicherheitsorientiertes Unternehmen präsentiert, bot die Software des Herstellers 2010 bislang mehr Angriffspunkte als die der Konkurrenten. Die IT-Sicherheitsfirma Secunia hat berechnet, dass in der ersten Hälfte 2010 Apple-Sopftware die meisten bekannten Fehler aufwies. Oracle, das zuletzt die Spitzenreiterposition inne hat, folgt auf Platz 2, das oft kritisierte Microsoft belegt Rang 3.
Die Lücken befinden sich jedoch nicht im Betriebssystem Mac OS, sondern in der Apple-Software. Dazu gehören neben Safari auch das Multimediaprogramm QuickTime und die Download-Plattform iTunes.
Wirbel um Obama-Biographie
(sueddeutsche.de/joku/holz)
Die Auto-Fill Funktion hat Safari seit Jahren und jeder Nutzer eines Browsers sollte sich eigentlich denken können, daß die Aktivierung dieser Funktion Abstriche bei der Sicherheit macht. Viel schlimmer wäre es, wenn persönliche Daten auch bei Deaktivierung auslesbar wären. Als Nutzer habe ich bei Safari doch die Wahl, aber scheinbar glauben einige Leute ein Computer sollte intelligenter als sie selbst sein.
Gibt es denn z.Zt. keine interessanteren Themen?
Apple-Software ist die allerallersicherste, Apple-Hardware ist die allerallerbeste und Steve Jobs ist der allerallerintelligenteste.
Wer anderes behauptet soll seine miesen kleinen Windoof-Anwendungen auf NoKia-Schrott laufen lassen.
Apple ist ein einfachheitorientiertes Unternehmen.
In der IT kostet Sicherheit so gut wie immer Komfort und der ist bei diesem Unternehmen allerhöchste Maxime.
Es gibt hunderte Möglichkeiten, über den Safaribrowser an die API für das Personal Information Management zu kommen und man kann sogar "Social Engineering" automatisieren, sodass der Nutzer einem freiwillig hilft, das eigene System zu knacken.