Categories: BrowserWorkspace

Safari und Opera: Sieben Mobile Browser anfällig für Spoofing

Die Cybersicherheitsfirma Rapid 7 warnt vor Schwachstellen, die mehrere mobile Browser betreffen, darunter Apple Safari, Opera Touch und Opera Mini. Sie erlauben Spoofing-Angriffe. Insgesamt zehn Anfälligkeiten ermöglichen es Angreifern unter Umständen, Nutzern gefälschte Websites unterzuschieben.

Als Spoofing werden Angriffe bezeichnet, bei denen Fehler in Browsern es einer schädlichen Website ermöglichen, eine falsche URL in der Adressleiste anzuzeigen – meistens die URL einer legitimen Website. Mobile Browser sind besonders anfällig für solche Attacken, da sie aufgrund der geringen verfügbaren Bildschirmfläche auf bestimmte Indikatoren verzichten, die Nutzer von Desktopbrowsern auf mögliches Spoofing hinweisen beziehungsweise solche Manipulationen generell vereiteln.

Betroffen sind neben Safari und Opera auch die Browser Bolt, RITS, UC Browser und Yandex Browser. Die jeweiligen Hersteller wurden bereits im August über die Schwachstellen informiert.

Erschreckend sind die von den Forschern dokumentierten Rückmeldungen. Ein Fix steht demnach bisher nur für Safari zur Verfügung, und zwar in Form des Updates auf iOS 13.6. Opera kündigte an, vier Bugs in Opera Mini und Opera Touch unter iOS und Android am 11. November zu beseitigen. Opera Mini für Android und Opera Touch für iOS sind also derzeit noch angreifbar.

UCWeb, Anbieter des UC Browser für Android, und Raise IT Solutions als Herausgeber des RITS Browsers, reagierten den Forschern zufolge bisher gar nicht auf ihre Sicherheitswarnung. Yandex antwortete lediglich mit einer automatisierten Rückmeldung. Eine E-Mail an den Entwickler Danyil Vasilenko des Bolt-Browsers war unzustellbar. Stattdessen wandten sich die Forscher an Apple, über dessen App Store der Browser für iOS vertrieben wird.

Ein Angreifer muss den Forschern zufolge ein Opfer lediglich auf eine von ihm erstellte Website locken, um eine der Spoofing-Lücken ausnutzen zu können. Sie empfehlen Nutzern, ihre Browser zu aktualisieren beziehungsweise auf Alternativen auszuweichen, die nicht von diesen Fehlern betroffen sind.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chinesische Forscher melden Durchbruch im Bereich Quanten-Computing

Das chinesische System soll zumindest bei einer speziellen Berechnung 100-Billionen-Mal schneller sein als der schnellste…

17 Stunden ago

Samsung kündig größte Reorganisation seit drei Jahren an

Das Unternehmen befördert 214 Führungskräfte. Alleine 31 Manager tragen nun den Titel Executive Vice President.…

20 Stunden ago

Malware für den Diebstahl von Finanzdaten versteckt sich hinter Social-Media-Buttons

Die Buttons erlauben angeblich das Teilen von Inhalten per Facebook, Twitter und Instagram. Stattdessen aktivieren…

22 Stunden ago

Phishing-Kampagne nimmt die Kühlkette für COVID-19-Impfstoff ins Visier

Die Hintermänner erhalten nach Einschätzung von IBM X-Force Unterstützung von einem Nationalstaat. Zu den Zielen…

23 Stunden ago

Neue TrickBot-Variante macht sich am BIOS zu schaffen

Derzeit liest TrickBot nur den Schreibschutzstatus des BIOS aus. Die Malware verfügt aber bereits über…

1 Tag ago

8 Prozent aller Apps im Play Store anfällig für alte Sicherheitslücke

Sie steckt in der Bibliothek Play Core, die Google bereitstellt. Angreifer können vertrauliche Daten wie…

1 Tag ago