iOS: Passwort-Phishing mit Pop-ups

Der österreichische App-Entwickler Felix Krause warnt vor einer überraschend einfachen Methode, mit der sich Passwörter für Apple-ID-Konten abgreifen lassen. Mit einem Proof-of-Concept zeigt er auf, wie eine bösartige App mit wenig Aufwand an das Passwort kommt. „Bitte deine Nutzer einfach freundlich“, schreibt er in einem Blogeintrag. „Sie werden ihre Anmeldedaten wahrscheinlich einfach aushändigen, weil ihnen das so beigebracht wurde.“

Als jahrelang bestehendes und bislang ignoriertes Schlupfloch von Apples Mobilbetriebssystem sieht er, dass Apples offizielle Aufforderungen zur Passworteingabe praktisch nicht von Aufforderungen zu unterscheiden sind, die von einzelnen Apps kommen. Sein beispielhafter Code benötigt weniger als 30 Programmzeilen und erzeugt Pop-ups, die ebenso direkt von iOS kommen könnten.

Offizielles Pop-up und Phishing-Pop-up (Bild: Felix Krause)

iOS-Nutzer sind gewohnt, in unregelmäßigen Abständen solche Pop-ups zu sehen. Das kann etwa geschehen, wenn sie einen In-App-Kauf tätigen wollen, kürzlich ein iOS-Update installiert haben oder eine App bei der Installation hängenbleibt. Aus Gewohnheit heraus vertrauen die meisten Nutzer darauf, eine Aufforderung von Apple erhalten zu haben, und zögern daher nicht, ihr Passwort einzugeben. Eine Phishing-App muss zudem nicht unbedingt schon die E-Mail-Adresse des Nutzers kennen, da auch manche offizielle Authentifizierungs-Pop-ups diese nicht beinhalten.

„iOS sollte sehr klare Unterschiede sichtbar machen zwischen Elementen von System-UI und App-UI“, fordert der App-Entwickler. Idealerweise sollte so für den durchschnittlichen Smartphone-Nutzer offensichtlich sein, dass etwas nicht stimmt. „Das ist ein kniffliges Problem, das der Lösung bedarf. Webbrowser haben noch immer damit zu kämpfen. Da gibt es noch immer Websites, die Pop-ups erzeugen und wie Pop-ups von macOS / iOS aussehen lassen, sodass viele Nutzer sie für System-Nachrichten halten.“

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Krause rät zu verschiedenen Vorsichtsmaßnahmen, solange Apple keine Lösung bereitstellt und die Phishing-Gefahr entschärft. So könnten Nutzer beim Auftauchen eines solchen Pop-ups den Homebutton betätigen. Bleibe die Passwort-Abfrage weiterhin sichtbar, handle es sich um einen echten System-Dialog. Weiterhin sei zu empfehlen, Anmeldedaten grundsätzlich nicht einem Pop-up anzuvertrauen, sondern dieses zu schließen und die Anmeldung selbst in den System-Einstellungen vorzunehmen. Das sei vergleichbar dem Prinzip, niemals auf Links in E-Mails zu klicken, sondern Websites stattdessen manuell zu öffnen.

Felix Krause war für Twitter tätig und arbeitet inzwischen bei Google. Kürzlich machte der App-Entwickler bereits auf ein Datenleck in iOS aufmerksam. Demnach sind Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, auch in der Lage, jegliche Metadaten der Bilder auszulesen. Als Folge können diese Apps auch die in den sogenannten EXIF-Daten enthaltenen Standorte auslesen und zusammen mit den Aufnahmedaten sogar ein Bewegungsprofil eines Nutzers erstellen. Je nach Umfang der Bibliothek ist das sogar über Jahre hinweg möglich.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Bernd Kling

Recent Posts

US-Justizministerium startet Kartelluntersuchung gegen Technikfirmen

Sie richtet sich gegen Unternehmen in den Bereichen Suche, Soziale Medien und Online-Handel. Die Namen von Google, Facebook und Amazon…

30 Minuten ago

Microsoft beseitigt Dutzende Fehler in Windows 10 Version 1809

Die Versionshinweise nennen Details zu 27 Bugs. Korrekturen betreffen Internet Explorer, Office 2010, die Windows-Suche und auch das Upgrade von…

4 Stunden ago

Patentantrag verrät Details zu Apples Augmented Reality Headset

Es verfügt über eine Vielzahl von Sensoren. Sie erfassen den Nutzer und seine Umgebung. Aus den Daten will Apple offenbar…

5 Stunden ago

Xiaomi verschenkt Aktien im Wert von 21,4 Millionen Euro an Mitarbeiter

Anlass ist die Aufnahme des Unternehmens in die Fortune-Global-500-Liste. Die 20.538 Xiaomi-Mitarbeiter erhalten jeweils Aktien im Wert von 1040 Euro.

19 Stunden ago

Huawei rechnet mit einem Anstieg der Smartphoneverkäufe um mehr als 30 Prozent

Laut CEO und Gründer von Huawei Ren Zhengfei wird die Firma 2019 bis zu 270 Millionen Smartphones absetzen. Ein Jahr…

21 Stunden ago

Bericht: Apples Kauf von Intels Mobilfunkmodem-Sparte steht kurz vor dem Abschluss

Laut Medienberichten ist eine Einigung noch in dieser Woche möglich. Apple übernimmt demnach geistiges Eigentum und auch Mitarbeiter von Intel.…

22 Stunden ago