Gevaarlijk phishinglek in iPhone-browser
De Safari-browser op iOS heeft een beveiligingsgat waarmee phishers het adres van een site kunnen spoofen om bijvoorbeeld banklog-ins buit te maken. Proof-of-concept code is al uit.
Het eigenlijke gat zit in de WebKit-engine waar Safari op is gebaseerd. De browser is middels het JavaScript-commando windows.open() voor de gek te houden wat betreft het adres van de bezochte website. In de adresbalk is dan bijvoorbeeld Apple.com te zien, terwijl de browser zich op een andere site bevindt. Ook de adressen van sites met inlog zijn hiermee te spoofen, zodat phishers de log-ins voor bijvoorbeeld internetbankieren kunnen onderscheppen.
Alle iPhones, iPads
Dit beveiligingsgat is ontdekt door de Duitse beveiligingsonderzoeker David Vieira-Kurz, van het nonprofit security-onderzoeksproject MajorSecurity. Het gat is aanwezig in de meest actuele versie 5.1 van iOS, schrijft security-blog The H. Vieira-Kurz heeft het oorspronkelijk aangetroffen in iOS versie 5.0, meldt hij in zijn advisory over dit gat. Op 2 maart heeft hij Apple ingelicht, dat een dag later heeft gereageerd.
De ontdekker openbaart nu niet slechts het bestaan van dit gat, maar heeft ook proof-of-concept code gemaakt. Deze online toegankelijke demo opent op iOS een nieuw Safari-venster dat de homepage van Apple lijkt te zijn, maar wat in werkelijkheid nog gewoon op de eigen site MajorSecurity.net draait.
Op een desktopbrowser als Chrome valt de proof-of-concept code van Vieira-Kurz gelijk door de mand. Daar is dan zichtbaar dat de pop-up de gespoofde site (Apple.com) in een soort frame draait. De mobiele uitvoering van Safari, draaiend op iPones en iPads, toont dit niet. Het is voor de eindgebruiker niet te zien dat hij of zij eigenlijk een andere site bezoekt.
Oude iPhones blijven kwetsbaar
Aanvullende tests door Webwereld wijzen uit dat ook het voorgaande iOS 5.0.1 en het oude 4.2.1 kwetsbaar zijn. iOS 4.2.1 is de laatste versie voordat Apple is overgegaan op de 5-reeks van zijn mobiele besturingssysteem. De iPhone 3G en ook de iPod Touch van de tweede generatie zitten 'vast' op deze oude versie. Apple brengt geen updates meer uit voor die oudere apparaten.
De enige optie is een nieuw toestel aanschaffen, om veilig te blijven. Het oude iApparaat is in wezen niet meer te vertrouwen. Op dit moment is zo'n hardware-upgrade voor een software-update echter geen oplossing: iOS 5.1 is ook kwetsbaar. Het is niet bekend of en wanneer Apple met een patch komt voor dit beveiligingsgat.
Het bedrijf heeft als beleid nooit mededelingen te doen over producten die het al dan niet nog uitbrengt. Dit betreft ook updates voor beveiligingsgaten in Mac OS X, en ook iOS. In juli vorig jaar heeft Apple oude iPhones al overgeslagen met een beveiligingsupdate.
Pas op voor url-verkorters
Zodra een eventuele iOS-update voor dit gat uit is, kunnen gebruikers van een iPhone 3G S, 4 en 4S updaten. Hetzelfde geldt voor gebruikers van de iPad; alledrie de generaties. Sinds iOS 5 kunnen iPhones en iPads zichzelf updaten, dus zonder aan een pc of Mac te zijn gekoppeld.
De kwestie van het gat is dermate ernstig dat de Nederlandse overheid er ook voor waarschuwt. Een belangrijke kanttekening die Waarschuwingsdienst.nl hierbij maakt, is dat url-verkorters het risico van deze Safari-kwetsbaarheid vergroten. Gebruikers krijgen het advies “extra voorzichtig te zijn met het gebruik van zogenaamde shortlinks (hyperlinks die beginnen met http://bit.ly, http://t.co, etc.) naar websites."
Zelf url intoetsen
Dit volgt op het meer algemene advies “extra op te letten bij het bezoeken van websites op je iPhone, iPod of iPad". Probleem is echter dat er niets zichtbaar is, waardoor een phishingpoging via deze weg in praktische zin ondetecteerbaar is. Een wel goed advies is om dan maar handmatig “het internetadres in de adresbalk van je browser" in te voeren “als je er zeker van wilt zijn dat je op de juiste website terecht bent gekomen".