Safari voor iOS bevat lek dat phishing mogelijk maakt

De Safari-browser voor iOS op iPhones en iPads bevat een kritiek lek, waardoor phishing mogelijk is. Dat meldt het Ministerie van Veiligheid. Door het lek toont de adresbalk een ander adres dan dat van de site die door de gebruiker wordt bezocht.

Het lek zit in de rendering-engine Webkit, zegt het ministerie op Waarschuwingsdienst.nl. Daardoor toont de adresbalk de url van een site, terwijl de gebruiker in feite op een andere site zit. Dat maakt phishing mogelijk, omdat de gebruiker denkt zijn gegevens op een vertrouwde site in te vullen. Er is nog geen update beschikbaar. Het ministerie vraagt daarom gebruikers 'extra op te letten'.

De door Apple beheerde engine heeft ondersteuning voor het Javascript-commando 'window.open()'. Dat blijkt uit de publicatie van het lek op MajorSecurity. Op desktopbrowsers is dan direct te zien dat een ander venster wordt geopend binnen de browser, maar dat is op de mobiele versie van Safari niet duidelijk. De standaardbrowser van Android, die eveneens Webkit als engine heeft, is niet vatbaar; daarin is het duidelijk dat zich een nieuw venster opent.

Het lek werkt niet alleen onder iOS 5.1, maar ook op apparaten met iOS 5.0.1 en volgens Webwereld ook onder iOS 4. Het is onduidelijk of en wanneer Apple een fix uitbrengt voor het lek. Gebruikers die niet vatbaar willen zijn, kunnen gebruikmaken van alternatieve browsers voor iOS, zoals iCabMobile, meldt H-Online.

Phishing-lek op iPhone onder iOS 5.1 Android-browser vertoont spoofing-lek niet (Android 2.3)

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 22-03-2012 10:29 97

22-03-2012 • 10:29

97

Lees meer

Apple iPhone 4

geen prijs bekend

4.5 van 5 sterren
Apple iPhone 4S

geen prijs bekend

4.5 van 5 sterren
Apple keurt Edge, Firefox en DuckDuckGo goed als standaardbrowser in iOS 14
Apple keurt Edge, Firefox en DuckDuckGo goed als standaardbrowser in iOS 14 Nieuws van 17 september 2020
Trend Micro: "Blackberry veiligste mobiele os, Android minst veilige"
Trend Micro: "Blackberry veiligste mobiele os, Android minst veilige" Nieuws van 12 april 2012
Apple brengt nieuwe iPad in Nederland en België uit
Apple brengt nieuwe iPad in Nederland en België uit Nieuws van 23 maart 2012
Mobielbankieren-app ING controleerde ssl-certificaat bank niet - update
Mobielbankieren-app ING controleerde ssl-certificaat bank niet - update Nieuws van 21 maart 2012
Ook Android-apps kunnen gemakkelijk gebruikersfoto's uploaden
Ook Android-apps kunnen gemakkelijk gebruikersfoto's uploaden Nieuws van 2 maart 2012
Lek in iOS stelt apps in staat heimelijk foto's en video's te uploaden
Lek in iOS stelt apps in staat heimelijk foto's en video's te uploaden Nieuws van 29 februari 2012
Jailbreak iPhone 4S werd binnen 24 uur miljoen keer gedownload
Jailbreak iPhone 4S werd binnen 24 uur miljoen keer gedownload Nieuws van 24 januari 2012
Ontwikkelaars brengen jailbreak voor iPhone 4S uit
Ontwikkelaars brengen jailbreak voor iPhone 4S uit Nieuws van 20 januari 2012
Meer producten en artikelen
Smartphones Mobiele besturingssystemen Tablets Privacy Browsers Apple iOS iPhone Beveiliging

Reacties (97)

-Moderatie-faq
97
93
61
5
0
9
Wijzig sortering
NovapaX 22 maart 2012 10:59
Ik heb het net uitgeprobeerd en bij mij is toch echt wel duidelijk dat er een nieuwe pagina geopend wordt hoor!
Het klopt wel dat de adresbalk gevuld kan worden met een willekeurige string. Wat natuurlijk niet de bedoeling is. In safari op de desktop blijft de adresbalk gewoon leeg... lijkt me beter.

Voorwaarde is wel dat je op een malafide site op een link klikt naar je bank bijvoorbeeld....
(vanuit een e-mail gaat het volgens mij niet werken...)

Even voor de volledigheid de javascript-code van hoe het werkt:
myWindow=window.open('http://www.mijnbank.nl','eintitel','width=200,height=100,location=yes');
myWindow.document.write("<html><head></head><body>PHISHING SITE HTML</body></html>");
myWindow.focus();

[Reactie gewijzigd door NovapaX op 25 juli 2024 07:58]

Zpottr @NovapaX22 maart 2012 11:03
Ik heb het net uitgeprobeerd en bij mij is toch echt wel duidelijk dat er een nieuwe pagina geopend wordt hoor!
Dat is het echte probleem inderdaad niet. Ik begrijp dan ook niet dat daar in het artikel zoveel aandacht aan wordt geschonken. Natuurlijk zie je op iOS wel dat er iets gebeurt. Het is het eindresultaat dat telt.
HitDyl 22 maart 2012 10:37
Wacht even hoor, als apple.com een windows.open() gebruikt gaat hij naar een andere pagina maar laat de url staan.

Dan is phishing toch niet mogelijk gezien windows.open() vanaf de website met die url aangestuurd moet worden.
Bosmonster
@HitDyl22 maart 2012 11:39
Het probleem is dat bij Safari voor iOS de adresbalk verdwijnt en niet opnieuw getoond wordt na een window.open().

Je hebt wel gelijk dat het dan dus op de url die je wilt tonen uitgevoerd zou moeten worden en het dus gecombineerd zou moeten worden met een XSS-aanval om het echt nuttig te maken.

Daarnaast is het dus niet echt een webkit-bug, maar meer een Safari-interface quirk.
pietjuhhh1990 @HitDyl22 maart 2012 10:39
Ik denk dat met de .open() een url waarde aangepast zal kunnen worden. Hierdoor is het mogelijk een handmatige url mee te geven ipv een legitime.
SunnieNL @pietjuhhh199022 maart 2012 10:42
Klopt, en die hoort iOS in het nieuwe venster aan te passen aan de nieuwe url, maar dat doet hij dus blijkbaar niet.

Een bug in webkit zal het ook niet zijn, want dan zouden andere browsers op iOS er ook last van moeten hebben. Probleem lijkt dus meer in de GUI om webkit heen te zitten.
Zpottr @HitDyl22 maart 2012 10:43
Je volgt een link op pagina A, beheerd door de aanvaller. Er opent een pagina in een nieuw venster met het adres van B, bijvoorbeeld je bank, maar de getoonde content is nog steeds een pagina beheerd door de aanvaller. Als die een beetje slim is past die het uiteriljk aan aan wat je verwacht van je bank.
Gamebuster @Zpottr22 maart 2012 10:45
Nee, dat kan dus niet. Je kan het adres niet veranderen.
Zpottr @Gamebuster22 maart 2012 10:47
Ja, dat kan dus wel want dat is precies wat hier gebeurt. Je krijgt een nieuwe 'tab' met een pagina van de attacker, maar het adres van een willekeurige andere site erboven. Probeer maar uit.
pietjuhhh1990 @Gamebuster22 maart 2012 10:48
Dat kan dus wel door de window.Open() een waarde mee te geven. Dat is een vorm van Phising, de gebruiker zit dan bijvoorbeeld op www.12345.org maar in de balk staat www.rabobank.nl

Hiervoor zijn natuurlijk ook checks, zie de 123 methode.
Verwijderd @HitDyl22 maart 2012 10:43
Ik kan me voorstellen dat je via je browser naar je webmail gegaan bent en daar een phishing mailtje hebt met een link naar 'jouw bank'. Je klinkt er op, in de adresbalk blijft het vertrouwde adres van je webmail staan, maar je komt niet op de url van de bank terecht maar op een nepside. Dat adres van die nepsite zie je dan nooit.
GlennVd @HitDyl22 maart 2012 10:42
Inderdaad, weer de zoveelste storm in een glas water..
nightlion 22 maart 2012 10:32
Hmm dit is al de zoveelste webkit bug... Ben ik blij dat ik een Windows Phone heb :P
.oisyn Moderator Devschuur®
@nightlion22 maart 2012 10:53
Ik zie dit niet zozeer als een lek in webkit, alswel een feature van webkit die door de omliggende browser niet altijd even goed wordt afgehandeld. Het is namelijk de browser zelf die aan window management doet, niet webkit. En daarom heeft ook alleen de mobiele versie van Safari er last van.

En wat betreft je opmerking, ik heb zelf ook een WP, maar doe mij maar gewoon een webkit browser.

[Reactie gewijzigd door .oisyn op 25 juli 2024 07:58]

Verwijderd @.oisyn22 maart 2012 12:17
De eerste eis is veilig kunnen browsen. Een foutje kan gebeuren, maar dit is te vaak.
Ben het dan ook eens met nightlion.
.oisyn Moderator Devschuur®
@Verwijderd22 maart 2012 13:09
De eerste eis is veilig kunnen browsen
Een renderengine, wat webkit is, zorgt er niet in zijn eentje voor dat je veilig kan browsen. De renderengine is niet verantwoordelijk voor het weergeven van de adresbalk. Het is dus ook nogal krom om die verantwoordelijkheid dan nu wel ineens aan de renderengine toe te dichten.

Dat is hetzelfde als de glasfabriek verantwoordelijk houden voor het feit dat de raaminstallateur geen anti-inbraakstrips om je kozijn heeft geplaatst, alleen maar omdat diezelfde glasfabriek in het verleden al een aantal keer in het nieuws is gekomen wegens slecht kwaliteit glas.

[Reactie gewijzigd door .oisyn op 25 juli 2024 07:58]

Rembert @nightlion22 maart 2012 10:44
Ja, Windows Phone is dan ook gegarandeerd bugvrij :X

Waar ik me meer zorgen over maak: gaat Apple nu voor oudere apparaten, waar iOS 5 niet op draait, toch een update uitbrengen? Phishing is een heel serieuze issue.

Als het inderdaad webkit betreft, zijn dan alle webkit implementaties gevoelig voor deze bug, dus ook op non-Apple systemen? Ben benieuwd.

@pietjuhhh1990: De Android browser is ook webkit gebaseerd...
ReallyStupidGuy @Rembert22 maart 2012 10:53
Zijn er uberhaubt mobiele apparaten die geen upgrade naar IOS5 hebben gehad?

Mijn Ipad1 draait ook al IOS5, dus volgens mij zou het dan eventueel alleen gaan om de oude IPhones.


Wat ik uit het bericht begrijp is dat dit eigenlijk meer een GUI issue is dan een beveiligingslek: In de mobiele versies van IOS wordt niet duidelijk aangegeven dat er een nieuw venster wordt geopend, bij Android werkt hetzelfde commando maar daar wodt de gebruiker wel duidelijk gemaakt dat er een nieuw venster wordt geopend.
Zpottr @ReallyStupidGuy22 maart 2012 10:58
Zijn er uberhaubt mobiele apparaten die geen upgrade naar IOS5 hebben gehad?
iPhones en iPods. De POC werkt feilloos op een iPhone 3G met iOS 4.2.1 (de laatst beschikbare voor deze hardware).
Wat ik uit het bericht begrijp is dat dit eigenlijk meer een GUI issue is dan een beveiligingslek: In de mobiele versies van IOS wordt niet duidelijk aangegeven dat er een nieuw venster wordt geopend, bij Android werkt hetzelfde commando maar daar wodt de gebruiker wel duidelijk gemaakt dat er een nieuw venster wordt geopend.
Je ziet op iOS ook wel dat er een nieuw venster wordt geopend. Dat is m.i. niet de bug. De bug leidt er toe dat je een pagina hebt waar een URL boven staat beheerd door B, maar met content beheerd door A. Dat is natuurlijk ernstig.
Soldaatje @Zpottr22 maart 2012 11:09
Ik snap ook niet wat een nieuwe tab of venster er mee te maken heeft, die hebben toch allemaal hun eigen adresbalk.
Edit: Laat maar, had even verder moeten lezen hieronder.

[Reactie gewijzigd door Soldaatje op 25 juli 2024 07:58]

BoringDay @ReallyStupidGuy22 maart 2012 11:41
Het maakt niet uit hoe je het noemt het probleem is dat de gebruiker te misleiden is.
Daarmee heb je toch met een vorm van veiligheid te maken, voor de gebruiker is het niet interessant of dit issue in de GUI zit of Systeem.

Maar in feite is het een Webkit issue daar zou je dit soort mogelijkheden moeten voorkomen.
oxo @ReallyStupidGuy22 maart 2012 15:52
Wat ik uit het bericht begrijp is dat dit eigenlijk meer een GUI issue is dan een beveiligingslek: In de mobiele versies van IOS wordt niet duidelijk aangegeven dat er een nieuw venster wordt geopend, bij Android werkt hetzelfde commando maar daar wodt de gebruiker wel duidelijk gemaakt dat er een nieuw venster wordt geopend.
Precies wat ik ook dacht toen ik het las. Via alle browsers kun je op deze phishing sites terecht komen. Alleen heb je het op iOS niet in de gaten. Al vraag ik me af of elke Android gebruiker meteen snapt dat als er zich een nieuw venster opent je dus op een phishing site zou kunnen zitten? Ook daar moet je dus altijd blijven opletten welk adres er te zien is. Phishing is phishing...
Snikker @Rembert22 maart 2012 11:04
Op zich is de reactie van nightlion best goed. Ik kan me zoveel reacties van Apple fanboys herinneren die zo enorm gelukkig waren dat ze een Apple hadden bij nieuwsberichten over Windows problemen.

Alsof hun Apple onfeilbaar was.

Een tijd geleden toen niemand het gebruikte en het niet interessant was er malware voor te maken, misschien wel. Maar des te meer mensen Apple producten gaan gebruiken des te interessanter voor malware makers...
BugBoy @Snikker22 maart 2012 11:21
Hoe populairder een systeem wordt, des te meer beveiligingslekken er bekend worden. Voorheen zag je veel problemen bij Windows en Internet Explorer. Nu zie je dat er ook meer bekend wordt over het Apple spul. Op zich is dat niet erg als de fabrikant maar snel stappen onderneemt. Daar heeft de open-source gemeenschap een duidelijk voordeel, maar anders ben je aan de fabrikant overgeleverd. MS communiceert meestal nog wel, maar Apple is een stuk minder transparant.
BoringDay @Snikker22 maart 2012 11:48
Het probleem doet zich niet voor op OSX dus tja misschien zou het je het artikel beter moeten lezen.

Daarbij gaat het om Webkit en GUI welke niet aangeeft er een nieuwe venster wordt geopend onder iOS.

Verder ken ik geen Apple gebruiker die beweerd malware onmogelijk is.
Maar zolang je software uit betrouwbare bronnen download is er niks aan de hand.

Het verschil met Windows is dat het al zelfs via IE op je computer kan belanden zonder dat de gebruiker er iets voor hoeft te doen, zo heb ik laatst al weer iemand mee moeten helpen.

Een groot verschil noem ik dat, dus roep niet te hard.
OSX blijft een top OS
Zpottr @Snikker22 maart 2012 11:40
Op zich is de reactie van nightlion best goed. Ik kan me zoveel reacties van Apple fanboys herinneren die zo enorm gelukkig waren dat ze een Apple hadden bij nieuwsberichten over Windows problemen.
...en nu is de reactie van nightlion in jouw ogen best goed omdat hij exact dezelfde redenatie opzet maar dan over WP7...? Ja, dat is een compleet geldige redenering inderdaad :D
Een tijd geleden toen niemand het gebruikte en het niet interessant was er malware voor te maken, misschien wel. Maar des te meer mensen Apple producten gaan gebruiken des te interessanter voor malware makers...
Mensen roepen dit al tien jaar, zo niet langer. Laat eerst maar eens een groot probleem in het wild zien voor we dit soort uitgekauwde onheilsprofetiën gaan geloven. De installed base met name in mobile (en dan hebben we het over always-on, alwas-connected apparaten waar mensen geen virusscanners of andere rotzooi op draaien, een aardig walhalla lijkt me) is gigantisch, en de installed base in PC's en laptops met name onder mensen die zeer veel en op verschillende netwerken online zijn is ook niet onaanzienlijk. Best wat eer te behalen lijkt me zo, maar we hebben nog niets gezien.

Dat is geen reden om onvoorzichtig te worden, en het probleem uit het artikel is niet fraai, maar iets 1000 keer herhalen maakt het nog niet waar.
nightlion @Rembert22 maart 2012 11:08
Ik zeg niet dat hij bugvrij is, maar de webbrowser in Windows Phone is niet gebaseerd op webkit en is daardoor niet vatbaar voor deze bug.

Artikel:
http://www.wp7.nl/9852/windows-phone-niet-vatbaar-webkit/
BoringDay @nightlion22 maart 2012 11:52
Tja maar dat heeft toch ook niks hiermee te maken? IE draait op zijn eigen manier.
Het hele artikel waar je naar verwijst is ook totaal overbodig, ik verbaas me er zelfs over dat men daar tijd aan verdoet.

Er is ook niemand beweerd iOS bug vrij is er is namelijk geen enkel OS was bug vrij is.
pietjuhhh1990 @Rembert22 maart 2012 10:54
Ik gebruik Opera omdat deze de websites aanpas aan mobile schermen en daarmee het dataverbruik enigszins verkleint. Deze zal natuurlijk ook niet perfect zijn.

Maar ik vindt de reactie "We weten nog niet wanneer het opgelost gaat worden" niet toepasselijk wanneer het een bekende opening naar phishing betreft :X
Zpottr @pietjuhhh199022 maart 2012 11:01
Dan gebruik je dus Opera Mini. Deze heeft by design al een gigantisch veligheids/ privacyprobleem, namelijk dat vrijwel al je verkeer door de servers van Opera geleid wordt.
Onno b @Rembert22 maart 2012 12:18
Het lijkt mij logisch dat Apple dat wel doet ja. Ik schat de kans dat de jailbreakcommunitie straks eerder een patch heeft dan Apple best wel groot is.. Zou dan geen slimme zet zijn van Apple om al haar oude klanten in de kou te laten staan en mogelijk een extra motivatie te laten houden voor een jailbreak.
Aan de andere kant weet ik niet hoe Apple zichzelf in het verleden altijd heeft opgesteld
Sfynx @Rembert22 maart 2012 12:57
Waar ik me meer zorgen over maak: gaat Apple nu voor oudere apparaten, waar iOS 5 niet op draait, toch een update uitbrengen? Phishing is een heel serieuze issue.
Als ze wat fatsoen in hun donder hebben, dan backporten ze de fix inderdaad ook even naar iOS 4.3 (en als het even kan ook naar 4.2 voor de CDMA phones). Dat je niet allemaal nieuwe features gaat lopen backporten is begrijpelijk, maar beveiligingspatches zouden toch wel tot zeg 5 jaar na release moeten doorlopen imo.
Carbon
@nightlion22 maart 2012 11:25
Hmm dit is al de zoveelste webkit bug.
iCabMobile maakt gebruik van exact dezelfde WebKit binary , maw dit is geen WebKit bug.
BoringDay @Carbon22 maart 2012 11:55
Dat ligt er net aan hoe je het ziet.

Je kan de veiligheid op het niveau van webkit leggen, dan is het wel een webkit bug.
Je kan de veiligheid op het niveau van de interface leggen, dan is het een interface bug.

Ik ben voorstander van de veiligheid op het niveau van webkit te leggen, zodat je het probleem in 1x kan afvangen voor alle webbrowsers.
Sfynx @BoringDay22 maart 2012 13:06
WebKit kan niet afdwingen wat jij er zelf omheen tekent, het is geen windowmanager en dat moet het ook niet worden. Allemaal kleine processen elk verantwoordelijk laten zijn voor een specifieke taak is juist wat UNIX goed gestructureerd en veilig maakt, en dat zou je zo ondermijnen.

Er is blijkbaar ook maar 1 browser gevoelig voor, dus dat spreekt ook niet voor een noodzaak om totaal verschillende taken bij 1 library te gaan leggen :)
BoringDay @Sfynx22 maart 2012 16:19
Het is juist heel verstandig om de veiligheid op een hoger niveau te leggen.
Hiermee voorkom je dat programmeurs dit vergeten te controleren.

Ongeacht of het Unix, Linux, BSD, Windows of welk OS dan ook is.

Stel als ik een library of DLL maak dan zou ik mijn veiligheid daarin willen hebben.
Zo kunnen malware applicaties daar niet omheen en voorkomt programmeer fouten voor wel goedaardige applicaties.

Waarom zou je iedereen zelf die code laten moeten ontwerpen terwijl dit kan worden afgevangen?
Verwijderd @nightlion22 maart 2012 19:03
ach, dit is niet webkite gebaseerd. Maar nog iets... ik moet verplicht op het werk werken met IE9. Wat een ramp is dat. Veel websites laden niet goed en geven niet goed weer etc. Alleen Webkit gebaseerde browsers zijn goed....

Chrome en Safari :) toppers.

Een standaard moet sowieso opensource zijn.. dus ook de standaard om te browsen. Webkit dus.

Webkit is sowieso al de grootste. En niet omdat het gepushed is. ;)

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:58]

arjankoole
22 maart 2012 11:21
Ho even.

Dit is geen veiligheidslek. Dit is hoe de UI werkt, bovendien zie je heel duidelijk dat er een nieuwe tab geopend wordt in de mobiele versie van Safari. Als dit gedrag (de functie zelf) onder Android geen lek is, dan kan het onder iOS ook geen lek zijn.

Sinds wanneer gaan security analysten dit soort dingen als 'lek' aanduiden? Het doet mij nogal twijfelen aan de expertise van die 'experts'. En van de redactie van t.net had ik ook wel een opmerking in die richting verwacht.

[Reactie gewijzigd door arjankoole op 25 juli 2024 07:58]

Zpottr @arjankoole22 maart 2012 11:46
Arjan, ik kan het echt niet met je eens zijn. De opmerkingen over het al dan niet kunnen zien of er een tab geopend is doen niet echt heel erg ter zake hier - veel gebruikers zullen dat nauwelijks herkennen of er verder bij nadenken.

Het gaat er om dat er uiteindelijk een pagina van domein A staa, met een URL van domein B erboven. Dat betekent dat een redelijk opgevoede gebruiker die netjes de URL van pakweg zijn bank checkt zoals (klein)zoonlief 'm verteld heeft, hier slachtoffer kan worden.

Daarom is de vraag ook van belang of https-sites ook slachtoffer kunnen worden. Een echt goed opgevoede papa, mama of ouder kijkt ook nog of de adresbalk mooi groen gekleurd is.
cyberstalker 22 maart 2012 10:35
Gebruikers moeten dus beter opletten. Waar moeten ze precies op letten wanneer ze de adresbalk niet kunnen vertrouwen?
dacken @cyberstalker22 maart 2012 10:48
Door zelf het URL in te voeren of te werken vanuit Bookmarks.

Niet zo maar een link volgen op een site of vanuit een e-mail. :)
Sfynx @dacken22 maart 2012 13:10
Niet zo maar een link volgen op een site of vanuit een e-mail. :)
Hyperlinks volgen is de essentie van het WWW, dat is net als adviseren dat je maar geen geld mee moet nemen naar een winkel omdat je onderweg weleens slachtoffer van een straatroof zou kunnen worden.

Als tijdelijke maatregel is het ok natuurlijk :P

[Reactie gewijzigd door Sfynx op 25 juli 2024 07:58]

Verwijderd @dacken22 maart 2012 13:10
Overigens sowieso een goede manier om te werk te gaan, exploit of niet.
Twizz91 22 maart 2012 10:38
Oppassen met internetbankieren dus! :|
Verwijderd @Twizz9122 maart 2012 10:43
Nee hoor, gewoon niet overal op klikken. Gewoon handmatig www.ing.nl of www.asnbank.nl of wat dan ook intikken als je wilt gaan internetbankieren en er is
niets aan de hand.
Zpottr @Verwijderd22 maart 2012 11:06
Dat is een scenario bij uitstek waar je een vector voor een aanval kunt verzinnen. Hoeveel mensen per dag denk je dat per ongeluk ingbnak.nl intypen? Regsitreer zo'n domein en laat de typo's maar komen.
Verwijderd @Zpottr22 maart 2012 19:08
En weet je hoe snel zulke website plat liggen? :P denk behoorlijk snel.
SunnieNL @Twizz9122 maart 2012 10:42
Internetbankieren loopt op iOS vaak via apps. Die controleren niet de url, maar vooral het certificaat.
Verwijderd @SunnieNL22 maart 2012 11:05
Ja en laatst is gebleken dat die certificaten heel veilig zijn ... Not.
vgroenewold
@Verwijderd22 maart 2012 11:23
Dus wel, zo niet dan kan je net zo goed helemaal niet Internet-bankieren. Het is gebleken dat certificaten door 1 instantie niet meer te vertrouwen waren, die zijn dus allemaal de prullenbak in belandt.
Zpottr @vgroenewold22 maart 2012 11:49
Sleepz0rz zou ook kunnen doelen op de ING-app die het niet de moeite waard vond de ING-certificaten te controleren... een behoorlijke fout die inmiddels hersteld is in de laatste versie.
blouweKip @Zpottr22 maart 2012 12:48
Dat was toch een app en geen website? een app op een telefoon aanpassen etc lijkt me nogal omslachtig om te misbruiken vergeleken met iets als dit.

neemt niet weg dat ING inderdaad blunderde (maar nog wel versleuteling gebruikt onafhankelijk van SSL/TLS)
Verwijderd @Zpottr22 maart 2012 16:21
Je begrijpt er weinig van. De ING app was perfect veilig ZONDER de certificaten, dat had je tenminste kunnen weten als je het betreffende bericht hier op t.net goed had gelezen (inclusief de update).

Ik bedoel zelfs dat het Niet op certificaten rekenen niet zo'n heel slechte zet is, omdat de certificaten toch ook niet zo heel veilig bleken te zijn.
supertheiz @Twizz9122 maart 2012 10:43
Internetbankieren doe je over het algemeen met een App binnen iOs.
Niet dat dat perse veilig is....

nieuws: Mobielbankieren-app ING controleerde ssl-certificaat bank niet - update
pietjuhhh1990 22 maart 2012 10:36
Mja nobody's perfect maar dit zou toch wel iets zijn wat hoge prioriteit zou moeten krijgen.
Wat is "we weten nog niet wanneer het opgelost gaat worden" nou voor een antwoord.

Blij dat ik op Android werk (wat natuurlijk ook zijn gebreken heeft voordat ik hierop vervelende reacties ga ontvangen)
Verwijderd @pietjuhhh199022 maart 2012 11:04
De android browser werkt ook op webkit toevallig. Het zou mij niets verbazen als de interface van de android browser het zelfde probleem kent, want daar zie je ook het openen van een nieuw venster niet altijd.
Verwijderd @Verwijderd22 maart 2012 12:00
"Het zou mij niets verbazen als de interface van de android browser het zelfde probleem kent"

Uit het artikel:
"De standaardbrowser van Android, die eveneens Webkit als engine heeft, is niet vatbaar;"
Lijkt me dus dat de (standaard) android browser dus niet vatbaar is...

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:58]

Zpottr 22 maart 2012 10:40
Hmm, de POC werkt inderdaad.

Weet iemand of dit ook werkt via https? Zo ja is het echt een ernstig lek. Zo nee zijn de consequenties beperkt imho. Laten we in ieder geval hopen op een snelle fix.
Douweegbertje @Zpottr22 maart 2012 10:45
Zover ik het goed lees is dat wel mogelijk ja.
Wat je in feite doet is dat je een willekeurige URL opent, en hier een Iframe overheen plakt.
Dus dan zou je in feite een persoon naar https://tweakers.net kunnen laten gaan, terwijl hij dan in feite op jou eigen website kan zitten waarbij je puur de style van tweakers hebt overgenomen. Geen mogelijkheid dat je het kunt zien.
Zpottr @Douweegbertje22 maart 2012 10:51
Als dat inderdaad werkt had ik verwacht dat de POC met een https-pagina gedaan zou zijn. Het is namelijk heel waarschijnlijk dat de browser een truc als deze blokkeert bij een beveiligde pagina. Maar we zullen zien.
Verwijderd 22 maart 2012 10:58
Webkit is niet het probleem, die gebruikten ze bijna allemaal. Waarom komt er maar geen Firefox voor iOS?
Umbrah @Verwijderd22 maart 2012 11:02
Er zijn een paar redenen:

1. Apple's Appstore model heeft conflicten met de GPL licentie
2. Apple verbied alternatieve on-metal rendering engines. Alternatieve browsers gebruiken OF de ingebouwde webkit, of ze renderen off-site (zoals safariOpera)
edit:
whoops opera!

Beide redenen dat Firefox (voorlopig) niet voor iOS uitkomt, en dat dingen als DosBox, en VideoLAN Player (VLC) teruggetrokken waren.

[Reactie gewijzigd door Umbrah op 25 juli 2024 07:58]

ZpAz
@Umbrah22 maart 2012 11:10
Vlc is niet door Apple uit de store gehaald maar door de makers van Vlc.
supertheiz @ZpAz22 maart 2012 11:39
Probleem zit hem dan als ik het goed begrijp niet zozeer in de Appstore licentie, maar wel in de intepretatie van de GPL licentie.
Als je een programma (ook gratis) aanschaft via de App store, sluit je bij Apple een licentie af voor gebruik van het programma. In het GPL model staat dat vrije distributie mogelijk moet zijn, dit is met elkaar in conflict.
Als je kijkt naar het doel van de licentie: Software dat door een community is geschreven, gratis beschikbaar maken. Dit is prima mogelijk via de App store.
Umbrah @ZpAz22 maart 2012 11:33
Inderdaad, zoals ik zei: omdat de appstore niet met GPL compatible is.
arjankoole
@Umbrah22 maart 2012 11:32
Alternatieve browsers gebruiken OF de ingebouwde webkit, of ze renderen off-site (zoals safari)
Je bedoeld Opera daar, volgens mij, niet Safari. :)
Verwijderd @Umbrah22 maart 2012 16:25
FF op Android is het slechtste stukje software in de market. Je mag blij zijn dat ie niet op iOS komt. Zie de reacties maar in de market, één en al negatief.
Verwijderd 22 maart 2012 10:38
Ik controleer zoiezo altijd of ik wordt door gestuurd naar de URL van de site die ik wens te bezoeken. plus rechts onderin van de Safari browser wordt aangegeven hoeveel schermen er open staan. Omdat dit bij mij altijd 4 is. Weet ik, wanneer dit getal verhoogd wordt, dat ik een pop-up heb. Ogen open houden. Teveel vertrouwen op je technologie is zoiezo niet verstandig, er zijn meer dingen die mis kunnen gaan dan dingen die goed gaan.
Zpottr @Verwijderd22 maart 2012 10:45
Ik controleer zoiezo altijd of ik wordt door gestuurd naar de URL van de site die ik wens te bezoeken.
Daar heb je in dit geval dus niet veel aan, dat is nu juist hoe deze truc werkt.
plus rechts onderin van de Safari browser wordt aangegeven hoeveel schermen er open staan. Omdat dit bij mij altijd 4 is. Weet ik, wanneer dit getal verhoogd wordt, dat ik een pop-up heb.
Meen je dit serieus...? Ik ben bang dat je daar absoluut uniek in bent. Geen normaal mens gaat zo met zijn browser om, technologie hoort voor ons te werken in plaats van vice versa.
Verwijderd @Zpottr22 maart 2012 11:28
Jazeker! Ik vertrouw echt niet blind op technologie. Alles wat door een mens geproduceerd is kan kapot. Zo simpel is het.
Rey Nemaattori @Zpottr22 maart 2012 11:29
Hmm dit is al de zoveelste webkit bug... Ben ik blij dat ik een Windows Phone heb :P
Ja, want Windows en derivaten zijn natuurlijk geheel lekvrij gebleken 8)7

Hoe meer users, hoe meer bugs, leaks & exploits er worden gevonden, simple as that. Je kan nog zo goed testen, maar een miljoen users vinden meer bugs dan je testeam van god-knows-hoeveel man.

Apple heeft in de afgelopen jaren aardig wat users erbij gekregen daarmee wordt er ook meer getest...en dus zullen ze vinden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq