Entwickler warnt: Apps könn(t)en iCloud-Passwörter abgreifen
Der erst bei Twitter dann bei Google angestellte Entwickler Felix Krause warnt in seinem Blog-Eintrag „iOS Privacy: steal.password“ vor einer möglichen Sicherheitslücke des iPhone-Betriebssystems.
Die Kernbotschaft: Die Popup-Fenster, mit denen euch iOS hin und wieder zur Eingabe der persönlichen iCloud-Kontodaten auffordern würde, könnte von zwielichtigen App-Entwicklern problemlos nachgebaut und zum Abgreifen eurer Konto-Daten genutzt werden.
Da viele iPhone-Anwender bereits an die häufig auch grundlos auftauchende Passwort-Abfrage gewöhnt seien, hätten Phishing-Angriffe, die einfach nach Passwort und Benutzernamen fragen würden, erstaunlich gute Erfolgschancen.
So eingesammelte Passwörter könnten vom App-Entwickler zurück an die eigenen Server übertragen und anschließend zum Zugriff auf die fraglichen iCloud-Konten bzw. testweise auch bei Google und Co. genutzt werden, um zu prüfen ob der Nutzer die gleiche Kombination aus Nutzername und Passwort bei mehreren Diensten einsetzt.
Apple braucht eigenen Look
Das offensichtlichste Problem: Die Funktion, mit der Drittentwickler eigenen Popup-Fenster anzeigen können, UIAlertController, sieht exakt genau so aus wie Apples Passwort-Abfrage. Apple würde gut daran tun, seine Abfragen grafisch gesondert herauszuarbeiten um seinen Nutzern zu ermöglichen etwaige Phishing-Angriffe besser erkennen zu können. In Safari hatte Apple die Javascript-Meldungen zuletzt komplett umgestaltet um eine bessere Unterscheidung zwischen System-Meldungen und von Webseiten angezeigten Hinweis-Fenstern zu ermöglichen.
Schnell überprüfen
Anwendern empfiehlt der Entwickler bei der nächsten Login-Aufforderung kurz auf die Home-Taste zu drücken. Bleibt das Popup stehen, kommt dieses von Apple und nicht aus der gerade offenen App. Zudem sind Nutzer gut damit beraten Login-Aufforderungen direkt in den System-Einstellungen abzuarbeiten und die Popup-Fenster einfach zu schließen:
Don’t enter your credentials into a popup, instead, dismiss it, and open the Settings app manually. This is the same concept, like you should never click on links on emails, but instead open the website manually. If you hit the Cancel button on a dialog, the app still gets access to the content of the password field. Even after entering the first characters, the app probably already has your password.
Die Zwei-Faktor-Authentifizierung solltet ihr natürlich ohnehin aktiviert haben.
Erst am 28. September machte Krause darauf aufmerksam, dass Apps mit der Foto-Zugriff problemlos alle Geo-Daten in den Fotos der zurückliegenden Jahre einsehen und auswerten können.
Aber wenn ich eine App kaufe, dann muss ich mein Passwort doch im Pop Up eingeben.
Das ist richtig. Dann bist du aber auch im App Store und keine Drittanbieter-App.
Oha, das finde ich schon recht gefährlich, und mich als Anwender beschleicht das Gefühl, dass Apple‘s Geräte vielleicht doch nicht so sicher sind, wie Apple immer vorgibt zu sein – wie auch zuletzt, als Apple sämtliche „Antivirus- und Firewall-Apps“ aus dem App Store entfernt hat.
Weil Antiviren Software in einer Sandbox wie iOS ja auch soviel Sinn macht… …nicht. Die Antiviren App hat, wie alle Apps, keinen Zugriff aufs System, ist also völlig nutzlos, überflüssig und vor allem unseriös.
Flo hat Recht. Diese Software wurde zu Recht aus dem Store verbannt.
Und auch hier ist das System an sich nicht unsicher. Es ist lediglich unglücklich gemacht an dieser einen Stelle.
Ich frage mich etwas anderes:
Warum fällt das erst nach so vielen Jahren auf?
War ja schon seit Jahren möglich dass ein Entwickler so etwas tut.
@revosbackback
Schon vor langer Zeit gab es Nutzer, die dieses Problem gemeldet haben.
Offensichtlich wird es erst jetzt durch die Medien aufgegriffen, weshalb eine größere Aufmerksamkeit um das Thema entsteht und Apple sich dem Problem womöglich widmen wird.
Bei der 2faktor auth. wird aber doch bei Zugriff von fremdsystemen (also z. B. Über Seite, neues Gerät usw. ) auf einem der eigenen geräte ein Passcode angezeigt. Hilft dem Dieb also erstmal nicht viel, oder?
Nur der Gegencheck für andere Onlinedienste mit selben PW ist halt gefährlich.
Was aber möglich ist, wenn ein dritter deine Apple ID samt Passwort kennt – das Gerät aus der iCloud in der Ferne zu löschen und den Lost Mode aktiv zu setzen.
Sieht nicht gleich aus, wenn man sich mal die Anführungszeichen anschaut, die sind bei Apple Kursiv, und bei gefakten Meldungen Gerade. Außerdem können die damit Dank der Zwei-Faktor-Authentifizierung eh nichts anfangen. Wenn man sich nicht sicher ist, einfach wegdrücken.
Naja die Anführungszeichen Schräg machen ist keine große Kunst ^^ “ ” “
Darum geht es nicht! Es geht darum, einen Unterschied zu erkennen. Das dieses nicht schwer ist, das ist mir auch klar.
2-Faktor Authentifizierung nutze ich schon lange. PW wird nur bei Apple genutzt. Alles safe. Frage mich gerade was beim iPhone X passiert mit Face-ID. Kann eine Drittanbieter App, wenn man z.b. Zugriff auf die Frontkamera gewährt, dann auch „versteckt“ darauf zugreifen?Meinen Finger hab ich nicht immer auf dem Home-Button, aber aufs Display schaue ich ja ständig.
Kein System ist absolut sicher. Punkt. Ja, Apple täte gut daran, den System- eigenen Dialog anders zu gestalten. Aber ein echtes Problem mag ich für den versierten Nutzer nicht so richtig sehen. Zumindest keines, das man extra groß aufbauschen müsste. Wie er schreibt, sollte man eh besser solche ‚plötzlich‘ auftauchenden Abfragen mit der Hometaste abbrechen und dann selbst in die Einstellungen wechseln. Der unversierte Nutzer oder DAU wird vielleicht auch bei nicht- identisch aussehenden Dialogen sein Passwort eingeben – aber andererseits nutzt der vielleicht sowieso kaum Drittanbieter- Apps…
Ich wette mit dir um ein iPhone X, dass viele iPhone Nutzer mit dem aktuellen Look die Fälschung nicht erkennen würden. Die meisten haben in Bezug auf Technik einfach keine Ahnung.
Und der Entwickler muss die Apple ID des Users kennen. Und die kriegt er ja so nicht mit, oder?
Muss man doch merken wann die Abfrage kommt. Niemals in Apps bestätigen (nur ).
Wenn ich mir ansehe, wie viele Mehr oder weniger anspruchsvolle Apps aus den Asiatischen Raum kostenlos eingespielt werden, wird mir Schlecht! Ausserdem, wieso müssen immer mehr Apps täglich Upgedatet werden? Mit welchen Folgen? Seht Ihr da noch durch? ,? Ich habe da einigen Probleme! Auch wenn ein amerikanischer Dummy etwas anderes behauptet, das gesamte Apple-Paket wird im Fernen Osten produziert und die Sofwre an die Hardware angepasst, was bleibt uns da noch an Daten erhalten?!? Kotz!!!