iphone-ticker.de — Alles zum iPhone. Seit 2007. 34 765 Artikel

Phishing-Angriffe möglich

Entwickler warnt: Apps könn(t)en iCloud-Passwörter abgreifen

17 Kommentare 17

Der erst bei Twitter dann bei Google angestellte Entwickler Felix Krause warnt in seinem Blog-Eintrag „iOS Privacy: steal.password“ vor einer möglichen Sicherheitslücke des iPhone-Betriebssystems.

Passwort Abfrage

Die Kernbotschaft: Die Popup-Fenster, mit denen euch iOS hin und wieder zur Eingabe der persönlichen iCloud-Kontodaten auffordern würde, könnte von zwielichtigen App-Entwicklern problemlos nachgebaut und zum Abgreifen eurer Konto-Daten genutzt werden.

Da viele iPhone-Anwender bereits an die häufig auch grundlos auftauchende Passwort-Abfrage gewöhnt seien, hätten Phishing-Angriffe, die einfach nach Passwort und Benutzernamen fragen würden, erstaunlich gute Erfolgschancen.

So eingesammelte Passwörter könnten vom App-Entwickler zurück an die eigenen Server übertragen und anschließend zum Zugriff auf die fraglichen iCloud-Konten bzw. testweise auch bei Google und Co. genutzt werden, um zu prüfen ob der Nutzer die gleiche Kombination aus Nutzername und Passwort bei mehreren Diensten einsetzt.

Apple braucht eigenen Look

Das offensichtlichste Problem: Die Funktion, mit der Drittentwickler eigenen Popup-Fenster anzeigen können, UIAlertController, sieht exakt genau so aus wie Apples Passwort-Abfrage. Apple würde gut daran tun, seine Abfragen grafisch gesondert herauszuarbeiten um seinen Nutzern zu ermöglichen etwaige Phishing-Angriffe besser erkennen zu können. In Safari hatte Apple die Javascript-Meldungen zuletzt komplett umgestaltet um eine bessere Unterscheidung zwischen System-Meldungen und von Webseiten angezeigten Hinweis-Fenstern zu ermöglichen.

Schnell überprüfen

Anwendern empfiehlt der Entwickler bei der nächsten Login-Aufforderung kurz auf die Home-Taste zu drücken. Bleibt das Popup stehen, kommt dieses von Apple und nicht aus der gerade offenen App. Zudem sind Nutzer gut damit beraten Login-Aufforderungen direkt in den System-Einstellungen abzuarbeiten und die Popup-Fenster einfach zu schließen:

Don’t enter your credentials into a popup, instead, dismiss it, and open the Settings app manually. This is the same concept, like you should never click on links on emails, but instead open the website manually. If you hit the Cancel button on a dialog, the app still gets access to the content of the password field. Even after entering the first characters, the app probably already has your password.

Die Zwei-Faktor-Authentifizierung solltet ihr natürlich ohnehin aktiviert haben.

Erst am 28. September machte Krause darauf aufmerksam, dass Apps mit der Foto-Zugriff problemlos alle Geo-Daten in den Fotos der zurückliegenden Jahre einsehen und auswerten können.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
11. Okt 2017 um 15:11 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    17 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    17 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 34765 Artikel in den vergangenen 5638 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven