Schadcode in Rechnungen von Apple AppStore und iTunes Store
Erneut wurde eine Sicherheitslücke bei Apple entdeckt. Diesmal sind jedoch nicht unbedingt die Kunden, sondern vor Allem die Entwickler in Gefahr. Durch Manipulation des iOS-Gerätenamens verschickt der amerikanische Konzern nämlich eine E-Mail mit Schadcode.
Das Sicherheitsunternehmen Vulnerability Lab hat eine Schwachstelle in den Rechnungen von Apple entdeckt. Nach dem Kauf von AppStore oder iTunes Store Inhalten erhalten die Kunden als auch die Verkäufer eine Rechnung per E-Mail. Diese beinhaltet unter Anderem den Gerätenamen, mit welchem der Kauf durchgeführt wurde. Da die E-Mail von dem Konzern als HTML versendet wird, können Käufer einen Schadcode in die Rechnungen einschleusen. Hierbei verändert sich die Absenderadresse der E-Mail nicht.
In dem Eingabefeld des Gerätenamens können Angreifer einen HTML-Schadcode verstecken. Bei einem Kauf über App- oder iTunes Store wird dieser übernommen und als HTML in die E-Mail unkontrolliert eingefügt. Somit können die Angreifer theoretisch die Server von Apple aber auch die Entwickler angreifen. Beispielsweise sind Umleitungen auf gefälschte Websites möglich. Zudem können die Angreifer komplette Accounts übernehmen. Der Schadcode wird in einem iFrame-Fenster geöffnet. Die meisten E-Mail Programme blockieren diese standardmäßig, jedoch nicht alle. Ist der Code für die Phishing-Attacke erst einmal programmiert, lässt sich dieser leicht und getarnt über Apples Server versenden.
Die Entdecker von Vulnerability Lab haben die kritische Lücke bereits im Juni diesen Jahres an den Konzern übermittelt. Bislang hat dieser jedoch nicht reagiert, geschweige denn die Lücke geschlossen. Zwar müssen sich Käufer selbst keine große Sorgen machen, jedoch stellt das Problem eine Unsicherheit für Verkäufer dar.
Quelle Bild: Bloomua / Shutterstock.com
Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen und uns auf den sozialen Netzwerken folgen würdest, damit du nichts mehr verpasst. Es lohnt sich - garantiert!
Ähnliche Artikel
WhatsApp teilt jetzt den Live-Standort seiner Nutzer
In WhatsApp kann schon lange der Standort geteilt werden, jetzt wird das Feature auf Echtzeit ausgeweitet. Wer möchte, kann seinen Standort künftig aktuell halten, anstatt eine möglicherweise mittlerweile veraltete Information seinen Freunden zu senden.
SQUID die App für den individuellen News-Mix
Mit der News-App SQUID können sich Nutzer ihren individuellen News-Mix zusammenstellen. Sofort nach der Installation bekommt der Nutzer seinen Nachrichten-Shake geboten, zudem können sogar neue Sprachen gelernt werden.
Vodafone Pass: Ausgewählte Apps ohne Datendrosselung verwenden – StreamOn Konkurrenz mit Spotify [UPDATE]
Vodafone Pass ist da, ein ähnliches Angebot wie StreamOn der Telekom. Der neue Dienst nimmt nicht nur Streaming aus, sondern beschäftigt sich mit sämtlichen Apps.