Apple iPhone Mailserver Spoofing • scip AG VulDB

VulDB: Apple iPhone Mailserver Spoofing

Allgemein

scipID: 3340
Betroffen: Apple iPhone Firmware bis 1.0.3
Veröffentlicht: 28.09.2007 (Andi Baritchi)
Risiko: problematisch

Beschreibung

Taxierung der Schwachstelle

Das iPhone ist ein von Apple entwickeltes Smartphone, das nur über drei herkömmliche Tasten und einen Regler verfügt und ansonsten ausschließlich über ein Display mit Multi-Touch-Funktion bedient wird. Der Verkaufsstart in den USA war am 29. Juni 2007. Das Handy wird dort ausschließlich in Kooperation mit dem amerikanischen Mobilfunkkonzern AT&T Wireless angeboten. Das Gerät vereint die Funktionen eines iPod-Video-Medienspielers mit dem eines Mobiltelefons mit Digitalkamera und Internetzugang. In Europa wird das Gerät ab dem 9. November 2007 zuerst in Deutschland und Großbritannien, später auch in Frankreich angeboten. Andi Baritchi fand heraus, dass Benutzer nicht darüber informiert werden, wenn ein Mailserver von https:// auf http:// oder umgekehrt wechselt. Das kann mittels einer Man-in-the-Middle Attacke dazu ausgenutzt werden, Credentials des Benutzers in Erfahrung zu bringen.

Gleich über ein halbes Dutzend Schwachstellen adressierte Apple mit seinem ersten grossen Firmware Update für sein neues Lieblingskind, das iPhone. Bei der riesigen Medienpräsenz, die Apples angebliches Wunderkind bereits im Vorfeld erhielt, ist es kein Wunder dass sich eine Vielzahl von Researchern gierig auf das Gerät stürzte. Entsprechend überrascht es nicht, dass auch bereits nach kurzem diese Schwachstellen bekannt wurden. Eigentümern des Gerätes sei es geraten, das entsprechenden Firmware Upgrade einzuspielen – allerdings verbunden mit der Warnung, dass Apple ebenfalls mit diesem Update auch allfällige Sim-Hacks oder proprietäre Software von Drittherstellern wertlos macht.