Security Researcher deckt iPhone Design-Fehler

Apples iPhone hat zwei Designfehler, die potenzielle Sicherheitsprobleme darstellen könnten, so ein Forscher.

Der erste betrifft die E-Mail-Anwendung des iPhones, die Bilder automatisch per E-Mail herunterlädt, sagte der Sicherheitsforscher Aviv Raff am Donnerstag

Das ist problematisch, weil das Bild beim Herunterladen auf ein serverseitiges Skript verweist und dem Absender anzeigt, dass die E-Mail geöffnet wurde und die E-Mail-Adresse gültig ist. Die Adresse kann dann gespammt werden.

[Lesen Sie weiter: Die besten Android-Handys für jedes Budget.]

E-Mail-Anwendungen sind normalerweise so konfiguriert, dass sie Bilder von nicht vertrauenswürdigen Quellen blockieren, um das Problem zu verhindern, sagte Raff. Er schlägt vor, dass Benutzer die Verwendung der E-Mail-Anwendung vermeiden oder vorsichtig sein, wenn sie auf Links in einer E-Mail klicken, die von einer nicht vertrauenswürdigen Quelle stammt.

Der zweite Designfehler ist, wie die E-Mail-Anwendung des iPhones URLs anzeigt (Uniform Resource) Lokatoren). Nachrichten können im Nur-Text- oder HTML-Format (Hypertext Markup Language) angezeigt werden. Im HTML-Modus kann ein Benutzer eine E-Mail erhalten, in der sich der Text des Links vom tatsächlichen Link unterscheidet. Der wahre Link kann angezeigt werden, indem der Mauszeiger über den Text bewegt wird. In einem Popup-Fenster wird die URL angezeigt. Das Problem besteht jedoch darin, dass das Popupfenster die URL abschneidet, da auf dem Bildschirm nicht genügend Platz ist.

Ein Angreifer könnte eine Website mit einer langen Subdomäne erstellen, um einen Benutzer zu glauben, dass es eine legitime Site ist. Eine Website, die eine Person dazu verleiten soll, persönliche Informationen preiszugeben, wird als Phishing-Seite bezeichnet, sagte Raff.

Nachdem der fehlerhafte Link im Safari-Webbrowser angezeigt wurde, sieht der Benutzer möglicherweise immer noch nur einen Bruchteil davon die URL Wenn die Adressleiste in Mobile Safari angeklickt wird, springt der Cursor an das Ende der URL, also muss eine Person zurückscrollen, um die URL vollständig zu sehen, schrieb Raff in seinem Blog.

Weder Apples mobile Safari noch der Desktop Version des Browsers haben einen Phishing-Filter.

Raff sagte, er hat Apple vor mehr als zwei Monaten über die Designfehler informiert. Die Firma erzählte Raff, dass sie an Fixes arbeiteten, hatte aber nicht gesagt, wann diese Korrekturen veröffentlicht würden.

Raff sagte, er habe beschlossen, mit den Informationen an die Öffentlichkeit zu gehen, da Apple seither mindestens drei iPhone - Updates veröffentlicht habe Probleme.

"Ich denke, dass sie ihre eigenen Benutzer einem viel größeren Risiko aussetzen, indem sie das nicht beheben", sagte Raff in einem Interview. "Spätestens jetzt werden die Nutzer, die das lesen, vorsichtig sein. Es ist nur eine Frage der Zeit, bis die Bösen das sowieso finden."

Apple konnte nicht sofort für einen Kommentar erreicht werden.