Eine etwas kuriose Sicherheitslücke hat der IT-Sicherheitsexperte Benjamin Kunz Mejri in Apples App Store und iTunes Store entdeckt: vulnerability-lab.com.
Über den für ein iOS-Gerät unter "Einstellungen" > "Allgemein" > "Info" > "Name" festgelegten Wert, den die Stores bei mobilen Bestellungen als Kundennamen nutzen, ließ sich Schadcode ungeprüft in die Belege, die Apple nach Bestellungen als E-Mail verschickt, einschleusen.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Da nicht nur der Käufer selbst, sondern auch der Verkäufer die entsprechende E-Mail mit Absender *@email.apple.com erhält, kann ein Angreifer so gezielt einem Verkäufer Schadcode schicken.
Unter youtube.com zeigt der Entdecker, wie ein entsprechender Angriff beispielsweise ablaufen konnte. Apple hat die Lücke, die die Apple Security ID 623920272 erhalten hat, wohl mittlerweile geschlossen.
Quelle: nakedsecurity.sophos.com