iOS 8.3: E-Mail-Schwachstelle kann iCloud-Kennwörter abzapfen
Wenn euch die Mail-App des iPhones beim Lesen neuer Zuschriften mal wieder mit einer iCloud-Passwort-Abfrage nerven sollte, dann prüft den eingeblendeten Dialog lieber zwei mal! Im schlechtesten Fall könntet ihr das Opfer einer Phishing-Attacke sein.
So beherbergt die E-Mail-App des iPhone-Betriebssystems seit mehreren Monaten einen Fehler, der die automatische Einblendung falscher Passwort-Abfragen ermöglicht.
Die Hintergründe sind schnell erklärt: So akzeptiert die Mail-App gesetzte HTML-Tags die das Nachladen externer Inhalte ermöglichen (etwa <meta http-equiv=refresh>) und so auch Javacsript-Code ausführen können, der die Passwort-Abfrage authentisch erscheinen lässt.
Nach Angaben des Entwicklers Jan Souček, der den Code zum Ausnutzen der Schwachstelle auf GitHub publiziert hat, existiert der Fehler bereits seit rund einem halben Jahr und wurde auch an Apple gemeldet – eine Reaktion aus Cupertino lässt jedoch noch immer auf sich warten.
Souček demonstriert den automatisierten Angriff in dem unten eingebetteten, bislang privaten Youtube-Video, das nun für alle Interessierten Besucher des Video-Portals verfügbar ist und will so den Druck auf Apples Security-Abteilung erhöhen. Der Fehler lässt sich seit 8.1.2 ausnutzen. Danke Marius.
(Direkt-Link)
Vielleicht liegt es an mir, aber woran erkenne ich jetzt, dass es sich um eine echte Apple-Abfrage handelt?
Ich würde hier Cancel drücken und dann über die Einstellungen das Passwort ändern/setzen
Danke, diese Möglichkeit ist klar.
Aber woran kann ich grds. erkennen, ob es eine echte Anfrage ist?
Denn diese kommt mind. einmal pro Monat.
Also ich erkenne sofort im Video, dass es sich um einen Fake handelt.
Das Aussehen sieht ja mal gar nicht nach dem typischen Aussehen der PW-Abfrage aus:
– Fenster zu dunkel (nein, hat nix mit der Transparenz zu tun)
– Die Textbox wirkt ein bisschen größer als im „Original“
– Der Abstand von den Buttons zu der Textbox ist zu groß
Dazu kommt noch, dass zumindest bei mir ein Zweifel aufkommt, wenn nach dem Aufrufen einer neuen E-Mail sofort die PW-Abfrage kommt.
Bei mir kommt die PW-Abfrage in diesem Design nur, wenn ich das iPhone wiederherstelle (vom Backup) und das PW neu eingegeben werden muss. Und das ist selten.
Die PW-Abfrage im App Store sieht afaik anders aus.
Naja… Alles noch etwas mit CSS aufhübschen und schon erkennst du es nicht mehr. Hinzu kommt, dass es dem unbedarften Nutzer u.U. eben nicht auffällt. Und genau davon leben die „Fischers“…
ist ja nur eine Frage der Zeit, bis es echt aussieht. Nur weil es im Video sofort zu erkennen ist, heißt es ja nicht, dass es ein anderer nicht besser nachbaut. Es geht da um’s Prinzip, nicht darum, dir das als echt zu verkaufen.
Ggf. absichtlich falsches PW eingeben und gucken, ob es akzeptiert wird.
Jailbreaken und Fix installieren. Die Community ist mal wieder schneller als Apple ;)
…nicht „dass“, sondern vielmehr „ob“?
Das hat ihm jetzt bestimmt geholfen…
Was kann ich dagegen tun? Wenn es doch mal eingegeben wurde?
Wenn jemand darauf schon reingefallen ist:
– Passwort asap ändern (+ alle der Seiten, die das ähnliche PW wie iCloud haben, was btw nicht empfohlen ist)
– überprüfen, ob sich etwas geändert hat (z.B. neue autorisierte Geräte, gekaufte Artikel)
– ggf. Erstattung zurückfordern und Situation erklären
– in Zukunft mehr aufpassen, auch, wenn sich sowas nie verhindern lässt und man dem Anwender nicht immer die Schuld geben kann
asap und btw … och nee.
sry, hab gerade kz und bin total busy!
u r so fckng cooooool dude
Wow, nicht euer ernst? Ich weiss nicht was ich schlimmer finde, den Bug oder die Ignoranz seitens Apple. So langsam ist das Maß voll. Bei diesem diletantismus fällt bleibt wohl aogar jedem hartgesottenem Fanboy die Spucke weg. Soviel zur Sicherheit eurer Daten. Ich finde es skandalös.
„Ignoranz“ „Maß ist voll“ „diletantismus (sic!)“, „skandalös“
Und, gehts dir jetzt besser? :-)
P.S. Wenn du schon so schöne Wörter benutzt: Dilettantismus wird groß und mit einem doppelten T geschrieben.
Und genau solche iDio… wie dich meine ich. Du regst dich mehr über einen Rechtschreibfehler auf, als dass was dein so hochgelobtes Unternehmen verzapft. Und deine Erläuterung weiter oben kannst du selber nicht ernst nehmen. Gerade jemand wie du würde den Layer nicht mal im Ansatz in Frage stellen. Du bist ein Fanboy par excellence!
@Muster
Steck dir dein doppeltes T in den A***h! Einfach mal nichts in die Tastatur hacken, wenn man mal gar nichts, aber einfach mal überhaupt, absolut nichts, nada zum Thema beitragen kann.
(Diese Antwort fällt unter Ausnahmen)
Hahaha.
Du hast drauf angebissen, lieber „Dick Tator“..
War mir klar, dass mindestens einer so antworten wird. :-)))
Nimm nicht alles so ernst und geh mal ein bisschen fröhlicher durch das Leben.
Muster, ein Tipp am Rande in puncto Anführungszeichen. Nutze bitte folgende Kombination: „(…)“
Danke für den Tipp.
So lernt man immer dazu. ;-)
Muster nervt.
So sind’s halt die Muster-Fanboys. Regen sich tatsächlich mehr über die Rechtschreibung Anderer auf, als über das Vorgehen (s)eines Unternehmens.
Hier sei auf den Artikel auf heise.de verwiesen.
„Nutzer können sich möglicherweise davor schützen, indem sie der Mail-App das Laden von HTML-Inhalten untersagen – dies lässt sich in den iOS-Einstellungen unter „Mail, Kontakte, Kalender“ beim Punkt „Bilder von Webservern laden“ vornehmen.“
http://www.heise.de/newsticker.....eitrag.rdf
Danke!
In der Stadt, wenn das reproduzierbar ist, müsste Apple MINDESTENS drauf hinweisen.
Insbesondere, da unregelmäßige Aufforderungen zur iCloud Passwort Eingabe ohnehin z nervigen Alltag gehören
Alltag jetzt nicht, aber auf die Schwachstelle hätte ich sicherlich auch reinfallen können. Eine sehr authentische Phishing-Attacke.
Finde ich nicht.
Wie ich oben schon schrieb:
1. Design sieht zwar zum Verwechseln ähnlich mit dem Original aus, dennoch gibt es Merkmale, an denen man den Fake enttarnen kann
2. Sollte man lieber zweimal überlegen, ob man sein PW eingeben will, wenn die Abfrage direkt nach dem Aufrufen einer Mail oder noch in der Mail-App erscheint.
Naja, vielleicht liegt das auch daran, weil ich schon lange weiß, was alles über E-Mails möglich ist und dementsprechend auch mehr Acht gebe.
Wieso nur in der Stadt und nicht auch auf dem Land?
Ich tippe mal darauf, dass er Tat meinte.
iOS Autokorrektur? ;-))
In letzter Zeit habe ich auch öfters die Frage nach dem iCloud Passwort. Ich gebe das generell nicht ein. Wenn das ein Fehler bei Apple ist, dann hilft das erneute eingeben nicht. Auf dem Handy ist das richtige Passwort gespeichert.
was ist wenn man die zweistufige Bestätigung eingerichtet hat? Dann kann doch eigentlich nichts passieren, oder?
Eigentlich schon, aber es ist nie gut, sein Passwort rauszugeben.
Erst recht, wenn das Passwort noch auf dutzenden anderen Seiten benutzt wird, wie es leider heutzutage immer noch oft der Fall ist.
Wurde mir gerade auf dem iPhone angezeigt.
Werde bis zum Fix alle Anfragen abbrechen. Sollte mich doch davor schützen?
Du kannst höchstens die E-Mail löschen und ggf. den Absender auf die Blacklist packen.
Nun bereits zum 2x aufgetaucht. Wieder alles geändert. Wird hoffentlich nicht zur Gewohnheit!
Ich habe die Mail App so konfiguriert, dass Bilder von Webservern NICHT automatisch nachgeladen werden. Das ist zwar zunächst oft hässlich und man muss zum Ende einer Mail scrollen und dann explizit auf nachladen klicken wenn man doch mal Bilder darin sehen will, schützt aber vor so einigem. Und laut dem entsprechenden Artikel auf heise auch vor diesem Problem.
*ups* habe das MÖGLICHERWEISE im Artikel übersehen… Oha.
Jailbreaker: Einfach „DeDirect“ installieren und gut ist.
wird der Hintergrund nicht immer leicht verdunkelt, so dass nur das Dialogfenster normal zu sehen ist? Außerdem scheint sich die App noch problemlos bedienen zu lassen, was eigentlich bei aufpoppenden Dialogen nicht möglich sein sollte…lässt sich also doch recht leicht erkennen?!?