Sicherheits-Problem: In-App-Browser erlauben Keylogging

Ein Entwickler macht darauf aufmerksam, dass Apps die Tastatureingaben, die in einem In-App-Browser gemacht werden, auslesen können.

Stefan Rechsteiner

Viele iOS-Apps enthalten einen sogenannten «In-App-Browser». Durch diese können Webseiten direkt in einer Browser-Ansicht innerhalb der App angezeigt werden, ohne dass dabei die App verlassen und die Webseite in Safari geöffnet werden müsste.

In seinem Blog furbo.org schreibt Iconfactory-Entwickler Craig Hockenberry über eine Sicherheitslücke in iOS 7 und iOS 8, die es Apps erlaubt, die Tastatureingaben, die über solche integrierte Browser gemacht werden, auszulesen. Böswillige Entwickler könnten somit sensible Daten seiner App-Nutzer auslesen.

Der Entwickler stellt für Interessierte ein «Proof of Concept» als Xcode-Projekt zum Download zur Verfügung. Mit dem PoC kann die «Sicherheitslücke» einfach nachvollzogen werden. Ausserdem hat Hockenberry seine Entdeckung per Video dokumentiert. In einem kurzen Mitschnitt ist zu sehen, wie die App, in der der In-App-Browser läuft, die Tastatureingaben auf der Webseite auslesen kann (Keylogging).

iOS In-App Browser Key Logging Demo

Wie Hockenberry festhält, handelt es sich dabei nicht um einen Fehler in Apples Web-Engine WebKit, sondern um ein «bösartiges Ausnutzen» von dessen Funktionen. Die Browser-Ansicht «WebView» erlaubt umfassende Kontrolle über JavaScript — dadurch können Tastatureingaben abgegriffen, aber auch Elemente und Inhalte der Webseite geändert werden.

Apps sollten deshalb für das Verbinden mit Web-Apps für die Nutzerdaten immer auf das OAuth-Protokoll setzen, beschult der Entwickler den iPhone-Hersteller Apple. Durch dessen Einsatz könnten Web-Apps einer nativen App Zugriff auf ihre Daten erlauben, ohne die Zugangsdaten preisgeben zu müssen.

Der Entwickler rät ausserdem allen Nutzern, niemals über ein In-App-Browser persönliche Daten einzugeben. Dies sollte ausschliesslich über den Safari-Browser geschehen, so Hockenberry.