Phishing-Angriffe möglich
Entwickler warnt: Apps könn(t)en iCloud-Passwörter abgreifen
Der erst bei Twitter dann bei Google angestellte Entwickler Felix Krause warnt in seinem Blog-Eintrag „iOS Privacy: steal.password“ vor einer möglichen Sicherheitslücke des iPhone-Betriebssystems.
Die Kernbotschaft: Die Popup-Fenster, mit denen euch iOS hin und wieder zur Eingabe der persönlichen iCloud-Kontodaten auffordern würde, könnte von zwielichtigen App-Entwicklern problemlos nachgebaut und zum Abgreifen eurer Konto-Daten genutzt werden.
Da viele iPhone-Anwender bereits an die häufig auch grundlos auftauchende Passwort-Abfrage gewöhnt seien, hätten Phishing-Angriffe, die einfach nach Passwort und Benutzernamen fragen würden, erstaunlich gute Erfolgschancen.
So eingesammelte Passwörter könnten vom App-Entwickler zurück an die eigenen Server übertragen und anschließend zum Zugriff auf die fraglichen iCloud-Konten bzw. testweise auch bei Google und Co. genutzt werden, um zu prüfen ob der Nutzer die gleiche Kombination aus Nutzername und Passwort bei mehreren Diensten einsetzt.
Apple braucht eigenen Look
Das offensichtlichste Problem: Die Funktion, mit der Drittentwickler eigenen Popup-Fenster anzeigen können, UIAlertController, sieht exakt genau so aus wie Apples Passwort-Abfrage. Apple würde gut daran tun, seine Abfragen grafisch gesondert herauszuarbeiten um seinen Nutzern zu ermöglichen etwaige Phishing-Angriffe besser erkennen zu können. In Safari hatte Apple die Javascript-Meldungen zuletzt komplett umgestaltet um eine bessere Unterscheidung zwischen System-Meldungen und von Webseiten angezeigten Hinweis-Fenstern zu ermöglichen.
Schnell überprüfen
Anwendern empfiehlt der Entwickler bei der nächsten Login-Aufforderung kurz auf die Home-Taste zu drücken. Bleibt das Popup stehen, kommt dieses von Apple und nicht aus der gerade offenen App. Zudem sind Nutzer gut damit beraten Login-Aufforderungen direkt in den System-Einstellungen abzuarbeiten und die Popup-Fenster einfach zu schließen:
Don’t enter your credentials into a popup, instead, dismiss it, and open the Settings app manually. This is the same concept, like you should never click on links on emails, but instead open the website manually. If you hit the Cancel button on a dialog, the app still gets access to the content of the password field. Even after entering the first characters, the app probably already has your password.
Die Zwei-Faktor-Authentifizierung solltet ihr natürlich ohnehin aktiviert haben.
Erst am 28. September machte Krause darauf aufmerksam, dass Apps mit der Foto-Zugriff problemlos alle Geo-Daten in den Fotos der zurückliegenden Jahre einsehen und auswerten können.