iphone-ticker.de — Alles zum iPhone. Seit 2007. 21 857 Artikel
Phishing-Angriffe möglich

Entwickler warnt: Apps könn(t)en iCloud-Passwörter abgreifen

Artikel auf Google Plus teilen.
17 Kommentare 17

Der erst bei Twitter dann bei Google angestellte Entwickler Felix Krause warnt in seinem Blog-Eintrag „iOS Privacy: steal.password“ vor einer möglichen Sicherheitslücke des iPhone-Betriebssystems.

Passwort Abfrage

Die Kernbotschaft: Die Popup-Fenster, mit denen euch iOS hin und wieder zur Eingabe der persönlichen iCloud-Kontodaten auffordern würde, könnte von zwielichtigen App-Entwicklern problemlos nachgebaut und zum Abgreifen eurer Konto-Daten genutzt werden.

Da viele iPhone-Anwender bereits an die häufig auch grundlos auftauchende Passwort-Abfrage gewöhnt seien, hätten Phishing-Angriffe, die einfach nach Passwort und Benutzernamen fragen würden, erstaunlich gute Erfolgschancen.

So eingesammelte Passwörter könnten vom App-Entwickler zurück an die eigenen Server übertragen und anschließend zum Zugriff auf die fraglichen iCloud-Konten bzw. testweise auch bei Google und Co. genutzt werden, um zu prüfen ob der Nutzer die gleiche Kombination aus Nutzername und Passwort bei mehreren Diensten einsetzt.

Apple braucht eigenen Look

Das offensichtlichste Problem: Die Funktion, mit der Drittentwickler eigenen Popup-Fenster anzeigen können, UIAlertController, sieht exakt genau so aus wie Apples Passwort-Abfrage. Apple würde gut daran tun, seine Abfragen grafisch gesondert herauszuarbeiten um seinen Nutzern zu ermöglichen etwaige Phishing-Angriffe besser erkennen zu können. In Safari hatte Apple die Javascript-Meldungen zuletzt komplett umgestaltet um eine bessere Unterscheidung zwischen System-Meldungen und von Webseiten angezeigten Hinweis-Fenstern zu ermöglichen.

Schnell überprüfen

Anwendern empfiehlt der Entwickler bei der nächsten Login-Aufforderung kurz auf die Home-Taste zu drücken. Bleibt das Popup stehen, kommt dieses von Apple und nicht aus der gerade offenen App. Zudem sind Nutzer gut damit beraten Login-Aufforderungen direkt in den System-Einstellungen abzuarbeiten und die Popup-Fenster einfach zu schließen:

Don’t enter your credentials into a popup, instead, dismiss it, and open the Settings app manually. This is the same concept, like you should never click on links on emails, but instead open the website manually. If you hit the Cancel button on a dialog, the app still gets access to the content of the password field. Even after entering the first characters, the app probably already has your password.

Die Zwei-Faktor-Authentifizierung solltet ihr natürlich ohnehin aktiviert haben.

Erst am 28. September machte Krause darauf aufmerksam, dass Apps mit der Foto-Zugriff problemlos alle Geo-Daten in den Fotos der zurückliegenden Jahre einsehen und auswerten können.

Mittwoch, 11. Okt 2017, 15:11 Uhr — Nicolas
17 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Aber wenn ich eine App kaufe, dann muss ich mein Passwort doch im Pop Up eingeben.

  • Oha, das finde ich schon recht gefährlich, und mich als Anwender beschleicht das Gefühl, dass Apple‘s Geräte vielleicht doch nicht so sicher sind, wie Apple immer vorgibt zu sein – wie auch zuletzt, als Apple sämtliche „Antivirus- und Firewall-Apps“ aus dem App Store entfernt hat.

    • Weil Antiviren Software in einer Sandbox wie iOS ja auch soviel Sinn macht… …nicht. Die Antiviren App hat, wie alle Apps, keinen Zugriff aufs System, ist also völlig nutzlos, überflüssig und vor allem unseriös.

      • Flo hat Recht. Diese Software wurde zu Recht aus dem Store verbannt.

        Und auch hier ist das System an sich nicht unsicher. Es ist lediglich unglücklich gemacht an dieser einen Stelle.

        Ich frage mich etwas anderes:
        Warum fällt das erst nach so vielen Jahren auf?
        War ja schon seit Jahren möglich dass ein Entwickler so etwas tut.

      • @revosbackback
        Schon vor langer Zeit gab es Nutzer, die dieses Problem gemeldet haben.

        Offensichtlich wird es erst jetzt durch die Medien aufgegriffen, weshalb eine größere Aufmerksamkeit um das Thema entsteht und Apple sich dem Problem womöglich widmen wird.

  • Bei der 2faktor auth. wird aber doch bei Zugriff von fremdsystemen (also z. B. Über  Seite, neues Gerät usw. ) auf einem der eigenen geräte ein Passcode angezeigt. Hilft dem Dieb also erstmal nicht viel, oder?
    Nur der Gegencheck für andere Onlinedienste mit selben PW ist halt gefährlich.

    • Was aber möglich ist, wenn ein dritter deine Apple ID samt Passwort kennt – das Gerät aus der iCloud in der Ferne zu löschen und den Lost Mode aktiv zu setzen.

  • Sieht nicht gleich aus, wenn man sich mal die Anführungszeichen anschaut, die sind bei Apple Kursiv, und bei gefakten Meldungen Gerade. Außerdem können die damit Dank der Zwei-Faktor-Authentifizierung eh nichts anfangen. Wenn man sich nicht sicher ist, einfach wegdrücken.

  • 2-Faktor Authentifizierung nutze ich schon lange. PW wird nur bei Apple genutzt. Alles safe. Frage mich gerade was beim iPhone X passiert mit Face-ID. Kann eine Drittanbieter App, wenn man z.b. Zugriff auf die Frontkamera gewährt, dann auch „versteckt“ darauf zugreifen?Meinen Finger hab ich nicht immer auf dem Home-Button, aber aufs Display schaue ich ja ständig.

  • Kein System ist absolut sicher. Punkt. Ja, Apple täte gut daran, den System- eigenen Dialog anders zu gestalten. Aber ein echtes Problem mag ich für den versierten Nutzer nicht so richtig sehen. Zumindest keines, das man extra groß aufbauschen müsste. Wie er schreibt, sollte man eh besser solche ‚plötzlich‘ auftauchenden Abfragen mit der Hometaste abbrechen und dann selbst in die Einstellungen wechseln. Der unversierte Nutzer oder DAU wird vielleicht auch bei nicht- identisch aussehenden Dialogen sein Passwort eingeben – aber andererseits nutzt der vielleicht sowieso kaum Drittanbieter- Apps…

    • Ich wette mit dir um ein iPhone X, dass viele iPhone Nutzer mit dem aktuellen Look die Fälschung nicht erkennen würden. Die meisten haben in Bezug auf Technik einfach keine Ahnung.

  • Und der Entwickler muss die Apple ID des Users kennen. Und die kriegt er ja so nicht mit, oder?

  • Muss man doch merken wann die Abfrage kommt. Niemals in Apps bestätigen (nur ).

  • Wenn ich mir ansehe, wie viele Mehr oder weniger anspruchsvolle Apps aus den Asiatischen Raum kostenlos eingespielt werden, wird mir Schlecht! Ausserdem, wieso müssen immer mehr Apps täglich Upgedatet werden? Mit welchen Folgen? Seht Ihr da noch durch? ,? Ich habe da einigen Probleme! Auch wenn ein amerikanischer Dummy etwas anderes behauptet, das gesamte Apple-Paket wird im Fernen Osten produziert und die Sofwre an die Hardware angepasst, was bleibt uns da noch an Daten erhalten?!? Kotz!!!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 21857 Artikel in den vergangenen 3758 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven