{"id":117656,"date":"2017-10-11T15:11:40","date_gmt":"2017-10-11T13:11:40","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=117656"},"modified":"2017-10-11T15:14:53","modified_gmt":"2017-10-11T13:14:53","slug":"entwickler-warnt-apps-koennten-passwoerter-abgreifen","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/entwickler-warnt-apps-koennten-passwoerter-abgreifen-117656\/","title":{"rendered":"Entwickler warnt: Apps k\u00f6nn(t)en iCloud-Passw\u00f6rter abgreifen"},"content":{"rendered":"

Der erst bei Twitter dann bei Google angestellte Entwickler Felix Krause warnt in seinem Blog-Eintrag „iOS Privacy: steal.password<\/a>“ vor einer m\u00f6glichen Sicherheitsl\u00fccke des iPhone-Betriebssystems.<\/p>\n

\"Passwort<\/a><\/p>\n

Die Kernbotschaft: Die Popup-Fenster, mit denen euch iOS hin und wieder zur Eingabe der pers\u00f6nlichen iCloud-Kontodaten auffordern w\u00fcrde, k\u00f6nnte von zwielichtigen App-Entwicklern problemlos nachgebaut und zum Abgreifen eurer Konto-Daten genutzt werden. <\/p>\n

Da viele iPhone-Anwender bereits an die h\u00e4ufig auch grundlos auftauchende Passwort-Abfrage gew\u00f6hnt seien, h\u00e4tten Phishing-Angriffe, die einfach nach Passwort und Benutzernamen fragen w\u00fcrden, erstaunlich gute Erfolgschancen. <\/p>\n

So eingesammelte Passw\u00f6rter k\u00f6nnten vom App-Entwickler zur\u00fcck an die eigenen Server \u00fcbertragen und anschlie\u00dfend zum Zugriff auf die fraglichen iCloud-Konten bzw. testweise auch bei Google und Co. genutzt werden, um zu pr\u00fcfen ob der Nutzer die gleiche Kombination aus Nutzername und Passwort bei mehreren Diensten einsetzt. <\/p>\n

Apple braucht eigenen Look<\/h2>\n

Das offensichtlichste Problem: Die Funktion, mit der Drittentwickler eigenen Popup-Fenster anzeigen k\u00f6nnen, UIAlertController, sieht exakt genau so aus wie Apples Passwort-Abfrage. Apple w\u00fcrde gut daran tun, seine Abfragen grafisch gesondert herauszuarbeiten um seinen Nutzern zu erm\u00f6glichen etwaige Phishing-Angriffe besser erkennen zu k\u00f6nnen. In Safari hatte Apple die Javascript-Meldungen zuletzt komplett umgestaltet<\/a> um eine bessere Unterscheidung zwischen System-Meldungen und von Webseiten angezeigten Hinweis-Fenstern zu erm\u00f6glichen. <\/p>\n

Schnell \u00fcberpr\u00fcfen<\/h2>\n

Anwendern empfiehlt der Entwickler bei der n\u00e4chsten Login-Aufforderung kurz auf die Home-Taste zu dr\u00fccken. Bleibt das Popup stehen, kommt dieses von Apple und nicht aus der gerade offenen App. Zudem sind Nutzer gut damit beraten Login-Aufforderungen direkt in den System-Einstellungen abzuarbeiten und die Popup-Fenster einfach zu schlie\u00dfen: <\/p>\n

Don’t enter your credentials into a popup, instead, dismiss it, and open the Settings app manually. This is the same concept, like you should never click on links on emails, but instead open the website manually. If you hit the Cancel button on a dialog, the app still gets access to the content of the password field. Even after entering the first characters, the app probably already has your password.<\/p><\/blockquote>\n

Die Zwei-Faktor-Authentifizierung solltet ihr nat\u00fcrlich ohnehin aktiviert haben<\/a>. <\/p>\n

Erst am 28. September machte Krause darauf aufmerksam<\/a>, dass Apps mit der Foto-Zugriff problemlos alle Geo-Daten in den Fotos der zur\u00fcckliegenden Jahre einsehen und auswerten k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"\"Passwortabfrage\"<\/a>

Der erst bei Twitter dann bei Google angestellte Entwickler Felix Krause warnt in seinem Blog-Eintrag „iOS Privacy: steal.password“ vor einer m\u00f6glichen Sicherheitsl\u00fccke des iPhone-Betriebssystems. Die Kernbotschaft: Die Popup-Fenster, mit denen euch iOS hin und wieder zur Eingabe der pers\u00f6nlichen iCloud-Kontodaten auffordern w\u00fcrde, k\u00f6nnte von zwielichtigen App-Entwicklern problemlos nachgebaut und zum Abgreifen eurer Konto-Daten genutzt werden. […]<\/p>\n","protected":false},"author":1,"featured_media":117658,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[639],"tags":[5661,238,90],"class_list":["post-117656","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ios","tag-ios","tag-security","tag-sicherheit"],"aioseo_notices":[],"featured_image":["https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2017\/10\/passwort-phishing.jpg"],"subheadline":["Phishing-Angriffe m\u00f6glich"],"rest_api_enabler":{"featured_image":"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2017\/10\/passwort-phishing.jpg","subheadline":"Phishing-Angriffe m\u00f6glich"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/117656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=117656"}],"version-history":[{"count":3,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/117656\/revisions"}],"predecessor-version":[{"id":117662,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/117656\/revisions\/117662"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/117658"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=117656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=117656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=117656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}