Technik

Neue Sicherheitslücke in iOS 11 iPhone-Kamera lässt sich austricksen

iOS-Kamera-Bug.jpg

Die iPhone-Kamera lässt sich mit manipulierten QR-Codes hinters Licht führen.

(Foto: jwa)

Apples Kamera-App hat eine Sicherheitslücke: Sie erkennt manipulierte QR-Codes nicht, über die Nutzer etwa auf Phishing-Websites gelangen könnten. Wachsame Nutzer müssen sich aber kaum Sorgen machen.

Hat Apple schon wieder ein Sicherheitsproblem? Nur wenige Tage, nachdem bekannt wurde, dass Siri unter iOS 11 zum Plaudern neigt und Geheimnisse auf Kommando freimütig vorliest, berichtet der IT-Experte Roman Mueller von einem Bug in der Kamera-App, der Nutzer ungeahnt auf Phishing-Websites lenken könnte.

Der Fehler tritt in einer Funktion auf, die Apple erst mit iOS 11 in die Kamera-App eingeführt hat: Nutzer können mit ihrem iPhone oder iPad QR-Codes direkt aus der Kamera-App scannen, die Software erkennt den Code automatisch. Vorher brauchten iOS-Nutzer dafür eine Extra-App.

Das nützliche Feature hat aber offenbar eine Schwachstelle, die von Kriminellen ausgenutzt werden kann, berichtet "iPhone-Ticker": Mueller hat entdeckt, dass die Kamera-App sich mit einem manipulierten QR-Code bei der Erkennung einer URL leicht austricksen lässt.

Täuschung erst auf den zweiten Blick erkennbar

Mueller dokumentiert das Problem auf seinem Blog. Zur Beweisführung hat er selbst einen QR-Code erstellt, der arglosen Nutzern vorgibt, die Website Facebook.com zu öffnen - zumindest dann, wenn man ihn mit einem Gerät scannt, auf dem iOS 11.2 installiert ist. n-tv.de konnte das mit einem iPhone 8 Plus mit aktueller Software nachvollziehen.

Tatsächlich führt der QR-Code aber nicht zu Facebook, sondern zu Muellers eigener Website - ein harmloses Täuschungsmanöver, jeder iOS-Nutzer kann es gefahrlos ausprobieren. Doch Mueller zeigt damit, wie leicht es auch Kriminelle haben, arglose Nutzer hinters Licht zu führen und sie zum Beispiel auf gefälschte Log-in-Seiten zu locken und dort deren Anmeldedaten abzugreifen. Andere Apps, die eigens auf das Scannen von QR-Codes ausgelegt sind, fallen auf den Trick übrigens nicht rein, meldet "iPhone-Ticker".

Immerhin - wer aufmerksam ist, wird kaum in die Falle tappen: Das Täuschungsmanöver ist zwar im ersten Schritt nicht zu erkennen, denn nach dem Scannen fragt iOS den Nutzer in diesem Fall, ob er "facebook.com" in Safari öffnen möchte. Anschließend zeigt Safari aber die eigentliche URL an. Mit wachsamem Blick können Nutzer also leicht erkennen, ob sie auf der richtigen Seite gelandet sind.

Wie Apple auf die Veröffentlichung dieser Schwachstelle reagiert, ist offen - Mueller hat dem iOS-Sicherheits-Team den QR-Code-Bug nach eigenen Angaben schon Ende 2017 gemeldet, doch das Leck wurde noch nicht geflickt.

Quelle: n-tv.de, jwa

Mehr zum Thema