Sicherheitslücke im iOS In-App-Browser: Apps können Daten und Passwörter ausspionieren

Der In-App-Browser auf iPhone, iPad und iPod Touch hat eine Sicherheitslücke, über die Apps Daten ausspionieren können. Wenn eine App einen integrierten Browser anbietet, über den man Links anklicken und Webseiten betrachten kann ohne die App zu verlassen, sollte man vorsichtig sein: Diese Apps können theoretisch die angesehenen und auch eingetippten Daten wie zum Beispiel Benutzername und Kennwort mitlesen. Eine bekannte App, die den In-App-Browser zum Anzeigen fremder Webseiten nutzt, ist Facebook.

Craig Hockenberry, Entwickler der Twitteriffic-App, zeigt in einem Video, warum es gefährlich sein kann, persönliche Daten oder gar Passwörter in einem „In-App-Browser“ einzugeben: Die App sei nicht nur in der Lage, die angezeigten Inhalte auszulesen oder zu modifizieren, sondern könne auch übermittelte Daten und Kennwörter abfangen. Schuld sei eine nicht ganz saubere Trennung der einzelnen Prozesse, die es einer App ermöglicht, auf die Inhalte der Browser-Ansicht zuzugreifen. Böswillige App-Programmierer können diese Sicherheitslücke ausnutzen, um Daten zu sammeln oder, quasi wie mit einem Keylogger, an Zugangsdaten und Passwörter zu gelangen.

Solange es kein Update für die für fremde Apps zur Verfügung stehende Web-Ansicht gibt, sollte man vorsichtig sein, welche Web-Seiten man über eine andere App besucht, und was man dort für Daten eingibt. Hockenberry rät daher, wichtige Daten, Passwörter und Nutzernamen nicht in der Browser-Ansicht einer App einzugeben, sondern dafür lieber zum richtigen Safari-Browser zu wechseln. Das geht normalerweise über einen Button „Seite in Safari öffnen“ sehr schnell und einfach – allerdings muss man später wieder selbst zur ursprünglichen App zurückwechseln.