[img=right]http://www.macfreak.nl/base/data/news/images/Safari_3_Icoon.jpg[/img]Volgens het Ministerie van Veiligheid en Justitie zit er een lek in Safari voor iOS, waardoor het mogelijk is voor een website om het adres van een andere site te tonen. Dit lek kan gebruikt worden door phishing sites, waarop een website van bijvoorbeeld een bank wordt nagemaakt om jou zover te krijgen in te loggen met je gegevens.

Er is op het moment nog geen fix voor het beveiligingslek. iPhone-gebruikers worden aangeraden om extra goed op te letten bij het bezoeken van websites. Websites die verkorte url’s gebruiken zouden mogelijk phishing-sites kunnen zijn. Twijfel je, dan kun je altijd de url van een site zelf in de adresbalk tikken om zeker van je zaak te zijn.


Het lek is in ieder geval aanwezig in iOS 5.1. Tests van Webwereld wijzen uit dat ook iOS 5.0.1 en iOS 4.2.1 kwetsbaar zijn. Apple zelf heeft nog niet gereageerd op het lek, waardoor het ook niet duidelijk is wanneer er een mogelijke fix zal verschijnen.

wordt het ook gemeld door Amerikaanse sites? Ik denk dat dat meer impact zou hebben op Apple...

Belangrijk nieuws, en dus meteen naar de nieuwsberichten verplaatst.

Maar in hoeverre kan phishing een lek zijn? Ik begrijp het bericht niet. Phishing betekent dat je op een illegale site je gegevens achterlaat en daarmee geript wordt. Daar kan de browser toch niks aan doen?
Hoe zou dit lek gedicht moeten worden?

Ik reageerde misschien iets te snel en heb inmiddels het bericht op Webwereld gelezen:

Op een desktopbrowser als Chrome valt de proof-of-concept code van Vieira-Kurz gelijk door de mand. Daar is dan zichtbaar dat de pop-up de gespoofde site (Apple.com) in een soort frame draait. De mobiele uitvoering van Safari, draaiend op iPones en iPads, toont dit niet. Het is voor de eindgebruiker niet te zien dat hij of zij eigenlijk een andere site bezoekt.

Dus als ik het goed begrijp is dit "lek" ook in andere browsers aanwezig, alleen daar valt op dat er iets niet in de haak is en op iOS niet. Zeg  ik het zo goed?

(Bewerkt door odo om 14:16, 22-03-2012)

@odo: volgens mij zeg je het goed. Zoals ik het nu begrijp is het probleem dat er op de kwaadaardige site een soort fullscreen (i)frame popup venster getoond wordt, lijkend op de browser zelf, inclusief adresbalk met een niet-kwaadaardige URL. Waardoor je denkt dat je nog op de goede site bent

Meer algemeen zet me dit wel aan het denken: al die full-screen apps/browsers zoals op nieuwe tablets en in de toekomstige win8 maken het wat dat betreft wel gevaarlijker voor gebruikers. Als iets fullscreen is en er dus geen onderscheid meer is met de native omgeving, kan een website een eindgebruiker van alles wijsmaken. Er kan een scherm getoond worden dat lijkt op je voorkeursinstellingenscherm, waar je je wachtwoord moet invullen, iets wat lijkt op een emailprogramma, etc

Altijd weer die ellendige iframe! (Engels voor "ik belazer"...)
Waarvoor had Microsoft dit ook alweer bedacht ooit? Explorer?



(Bewerkt door Panico om 20:59, 22-03-2012)

Een betaalsite bereik je toch alleen maar door een eigen bookmark te gebruiken , of het zelf in te tikken en niet door een link te volgen?

Hier is te vinden wie het lek ontdekt heeft en bij MacRumors kun je zelfs met een iOSdevice een demo bekijken. Ook wordt er vermeld:

Apple acknowledged the bug and should be pushing a fix soon.

Vreemd weer dat zo'n veiligheidsbedrijf eerst de publiciteit opzoekt en het dan aan Apple meldt

psychomac

PSYCHOMAC om 0:15, 23-03-2012


Vreemd weer dat zo'n veiligheidsbedrijf eerst de publiciteit opzoekt en het dan aan Apple meldt

psychomac

Ze zeggen dat ze het een paar weken geleden aan Apple hebben gemeld.
Verder is het natuurlijk altijd een soort van pr voor zo’n bedrijf en daar kan ik best inkomen.

Veel overspannen reacties verder. Volgens sommigen is nu zelfs hun iDevice onbruikbaar om mee te browsen. Dan heb ik maar één advies laat het internet voor wat het is.

http://www.appleinsider.com/articles/12/03/22/safari_vulnerability_in_ios_51_allows_url_spoofing.html

Demo: http://majorsecurity.net/html5/ios51-demo.html

Nog een link: http://arstechnica.com/apple/news/2012/03/address-spoofing-vulnerability-discovered-in-mobile-safari-on-ios-51.ars

(Bewerkt door Pieterr om 19:43, 23-03-2012)

Het gaatje werkt helaas ook bij Safari 5.0.6 (5533.22.3) onder OSX Leopard.