Safari: Apple-Browser lädt zur Spionage ein

Über eine Lücke im Safari-Webbrowser können Hacker vertrauliche Nutzerdaten abgreifen. Einer Untersuchung zufolge ist die Apple-Sicherheit auch sonst alles andere als preisverdächtig.

Es ist eine komfortable Funktion, die jetzt zur Falle werden könnte: Die Möglichkeit, seinen Browser wiederkehrende Formulare wie die Mailadresse ausfüllen zu lassen, wird für Safari-Nutzer zum ungewollten Sicherheitsrisiko.

Wie Jeremiah Crossman, Cheftechniker von White Hat Security, berichtet, können die Auto-Complete-Daten über JavaScript abgefragt werden. Das funktioniert, wenn Nutzer präparierte Webseiten besuchen, auf denen sichtbar oder unsichtbar Felder wie Name, E-Mail-Adresse, Kreditkartennummer angegeben sind. Das Schadscript gibt dann verschiedene Anfangsbuchstaben ein, die vom Browser bei aktivierter Vervollständigungsfunktion ergänzt werden.

Wenn ein Nutzer markiert hat, die Daten aus seinem Adressbuch für die Auto-Vervollständigung zu nutzen, können sich Privatadresse und Arbeitsadresse unter den ausgelesenen Daten befinden. Das Problem tritt in den Safari-Versionen 4 und 5 auf, eine ähnliche Lücke weist der Internet Explorer in den Varianten 6 und 7 auf.

Inzwischen hat Apple angekündigt, an der Behebung des Problems zu arbeiten. Crossman hatte zuvor geklagt, der Konzern habe auf Hinweise in den vergangenen Wochen nicht reagiert.

Obwohl sich Apple als sicherheitsorientiertes Unternehmen präsentiert, bot die Software des Herstellers 2010 bislang mehr Angriffspunkte als die der Konkurrenten. Die IT-Sicherheitsfirma Secunia hat berechnet, dass in der ersten Hälfte 2010 Apple-Sopftware die meisten bekannten Fehler aufwies. Oracle, das zuletzt die Spitzenreiterposition inne hat, folgt auf Platz 2, das oft kritisierte Microsoft belegt Rang 3.

Die Lücken befinden sich jedoch nicht im Betriebssystem Mac OS, sondern in der Apple-Software. Dazu gehören neben Safari auch das Multimediaprogramm QuickTime und die Download-Plattform iTunes.