Erneut wurde eine Sicherheitslücke bei Apple entdeckt. Diesmal sind jedoch nicht unbedingt die Kunden, sondern vor Allem die Entwickler in Gefahr. Durch Manipulation des iOS-Gerätenamens verschickt der amerikanische Konzern nämlich eine E-Mail mit Schadcode.
Das Sicherheitsunternehmen Vulnerability Lab hat eine Schwachstelle in den Rechnungen von Apple entdeckt. Nach dem Kauf von AppStore oder iTunes Store Inhalten erhalten die Kunden als auch die Verkäufer eine Rechnung per E-Mail. Diese beinhaltet unter Anderem den Gerätenamen, mit welchem der Kauf durchgeführt wurde. Da die E-Mail von dem Konzern als HTML versendet wird, können Käufer einen Schadcode in die Rechnungen einschleusen. Hierbei verändert sich die Absenderadresse der E-Mail nicht.
In dem Eingabefeld des Gerätenamens können Angreifer einen HTML-Schadcode verstecken. Bei einem Kauf über App- oder iTunes Store wird dieser übernommen und als HTML in die E-Mail unkontrolliert eingefügt. Somit können die Angreifer theoretisch die Server von Apple aber auch die Entwickler angreifen. Beispielsweise sind Umleitungen auf gefälschte Websites möglich. Zudem können die Angreifer komplette Accounts übernehmen. Der Schadcode wird in einem iFrame-Fenster geöffnet. Die meisten E-Mail Programme blockieren diese standardmäßig, jedoch nicht alle. Ist der Code für die Phishing-Attacke erst einmal programmiert, lässt sich dieser leicht und getarnt über Apples Server versenden.
Die Entdecker von Vulnerability Lab haben die kritische Lücke bereits im Juni diesen Jahres an den Konzern übermittelt. Bislang hat dieser jedoch nicht reagiert, geschweige denn die Lücke geschlossen. Zwar müssen sich Käufer selbst keine große Sorgen machen, jedoch stellt das Problem eine Unsicherheit für Verkäufer dar.
Quelle Bild: Bloomua / Shutterstock.com