ZitatAlles anzeigenPhishing-Trick: Über eine
Schwachstelle im Abrechnungs-System von Apples App Store und iTunes sind
Angreifer in der Lage, Schadcode in offizielle Rechnungs-E-Mails zu
schmuggeln.
Online-Kriminelle können Apples App-Store- und
iTunes-Server, die für die Abwicklung von Einkäufen zuständig sind,
ausnutzen, um ihre Identität zu verschleiern und so Phishing-Angriffe
fahren. Dabei soll es aufgrund einer unzureichenden Überprüfung seitens
Apple möglich sein, beliebigen Schadcode in Rechnungen zu schmuggeln.
Über diesen Weg sollen Angreifer etwa Sessions übernehmen und Nutzer
beliebig umleiten können, beschreibt der Entdecker der Lücke Benjamin Kunz Mejri vom Vulnerability Lab.
Als Einfallstor diene dabei das Textfeld für den Gerätenamen eines
iPads oder iPhones, welcher in jeder Rechnung auftaucht. An dieser
Stelle ist es Mejri zufolge möglich Code einzufügen, der dann im Zuge
der Rechnungserstellung 1:1 übernommen wird.
Quelle: http://www.heise.de/security/m…missbrauchen-2764295.html
