iOS Sicherheitslücke: Apps können Daten und Passwörter mitlesen

Wenn eine App einen integrierten Browser anbietet, über den man schnell und einfach Links oder Webseiten betrachten kann, ohne die App zu verlassen, sollte man vorsichtig sein: Diese Apps können theoretisch die angesehenen und auch eingetippten Daten wie zum Beispiel Benutzername oder Kennwort mitlesen. Eine bekannte App, die einen Browser zum Anzeigen fremder Webseiten nutzt, ist zum Beispiel Facebook. Klickt man hier auf einen Link, wird die Seite nur im „In-App-Browser“ geöffnet.

Craig Hockenberry, Entwickler der Twitteriffic-App, zeigt in einem Video, warum es gefährlich sein kann, persönliche Daten oder gar Passwörter in einem „In-App-Browser“ einzugeben: Die App sei nicht nur in der Lage, die angezeigten Inhalte auszulesen oder zu modifizieren, sondern könne auch übermittelte Daten und Kennwörter abfangen. Schuld sei eine nicht ganz saubere Trennung der einzelnen Prozesse, die es einer App ermöglicht, auf die Inhalte der Browser-Ansicht zuzugreifen. Böswillige App-Programmierer können diese Sicherheitslücke ausnutzen, um Daten zu sammeln oder, quasi wie mit einem Keylogger, an Zugangsdaten und Passwörter zu gelangen.

Solange es kein Update für die für fremde Apps zur Verfügung stehende Web-Ansicht gibt, sollte man vorsichtig sein, welche Web-Seiten man über eine andere App besucht, und was man dort für Daten eingibt. Hockenberry rät daher, wichtige Daten, Passwörter und Nutzernamen nicht in der Browser-Ansicht einer App einzugeben, sondern dafür lieber zum richtigen Safari-Browser zu wechseln. Das geht normalerweise über einen Button „Seite in Safari öffnen“ sehr schnell und einfach – allerdings muss man später wieder selbst zur ursprünglichen App zurückwechseln.