iOS In-App Browser Key Logging Demo

Viele iOS-Apps haben einen eigenen Browser integriert, um Nutzer bei der Verwendung von Links nicht immer an Apples Safari Browser weiterreichen zu müssen. Mithilfe dieses sogenannten "WebView" kann beispielsweise bei einem Smartphone-Twitterclient ein Verweis ins Web direkt aufgerufen werden, ohne den Umweg über das offizielle Surfwerkzeug gehen zu müssen. Wie sich jetzt zeigt, eröffnen diese In-App-Browser unter iOS aber auch Möglichkeiten, die von böswilligen App-Entwicklern ausgenutzt werden könnten.

So hat der bekannte Entwickler Craig Hockenberry eine Sicherheitslücke in "WebView" entdeckt, die es möglich macht, dem Nutzer bei der Verwendung sozusagen ganz genau auf die Finger zu schauen. Konkret soll es Apps mit integriertem Browser möglich sein, die exakten Keyboard-Eingaben zu registrieren. Um seinen Fund zu dokumentieren, präsentiert Hockenberry eine eigene "Proof-of-Concept"-App, die den beschrieben Fehler verdeutlicht.