iOS: Passwort-Phishing mit Pop-ups

Der österreichische App-Entwickler Felix Krause warnt vor einer überraschend einfachen Methode, mit der sich Passwörter für Apple-ID-Konten abgreifen lassen. Mit einem Proof-of-Concept zeigt er auf, wie eine bösartige App mit wenig Aufwand an das Passwort kommt. „Bitte deine Nutzer einfach freundlich“, schreibt er in einem Blogeintrag. „Sie werden ihre Anmeldedaten wahrscheinlich einfach aushändigen, weil ihnen das so beigebracht wurde.“

Als jahrelang bestehendes und bislang ignoriertes Schlupfloch von Apples Mobilbetriebssystem sieht er, dass Apples offizielle Aufforderungen zur Passworteingabe praktisch nicht von Aufforderungen zu unterscheiden sind, die von einzelnen Apps kommen. Sein beispielhafter Code benötigt weniger als 30 Programmzeilen und erzeugt Pop-ups, die ebenso direkt von iOS kommen könnten.

Offizielles Pop-up und Phishing-Pop-up (Bild: Felix Krause)

iOS-Nutzer sind gewohnt, in unregelmäßigen Abständen solche Pop-ups zu sehen. Das kann etwa geschehen, wenn sie einen In-App-Kauf tätigen wollen, kürzlich ein iOS-Update installiert haben oder eine App bei der Installation hängenbleibt. Aus Gewohnheit heraus vertrauen die meisten Nutzer darauf, eine Aufforderung von Apple erhalten zu haben, und zögern daher nicht, ihr Passwort einzugeben. Eine Phishing-App muss zudem nicht unbedingt schon die E-Mail-Adresse des Nutzers kennen, da auch manche offizielle Authentifizierungs-Pop-ups diese nicht beinhalten.

„iOS sollte sehr klare Unterschiede sichtbar machen zwischen Elementen von System-UI und App-UI“, fordert der App-Entwickler. Idealerweise sollte so für den durchschnittlichen Smartphone-Nutzer offensichtlich sein, dass etwas nicht stimmt. „Das ist ein kniffliges Problem, das der Lösung bedarf. Webbrowser haben noch immer damit zu kämpfen. Da gibt es noch immer Websites, die Pop-ups erzeugen und wie Pop-ups von macOS / iOS aussehen lassen, sodass viele Nutzer sie für System-Nachrichten halten.“

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Krause rät zu verschiedenen Vorsichtsmaßnahmen, solange Apple keine Lösung bereitstellt und die Phishing-Gefahr entschärft. So könnten Nutzer beim Auftauchen eines solchen Pop-ups den Homebutton betätigen. Bleibe die Passwort-Abfrage weiterhin sichtbar, handle es sich um einen echten System-Dialog. Weiterhin sei zu empfehlen, Anmeldedaten grundsätzlich nicht einem Pop-up anzuvertrauen, sondern dieses zu schließen und die Anmeldung selbst in den System-Einstellungen vorzunehmen. Das sei vergleichbar dem Prinzip, niemals auf Links in E-Mails zu klicken, sondern Websites stattdessen manuell zu öffnen.

Felix Krause war für Twitter tätig und arbeitet inzwischen bei Google. Kürzlich machte der App-Entwickler bereits auf ein Datenleck in iOS aufmerksam. Demnach sind Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, auch in der Lage, jegliche Metadaten der Bilder auszulesen. Als Folge können diese Apps auch die in den sogenannten EXIF-Daten enthaltenen Standorte auslesen und zusammen mit den Aufnahmedaten sogar ein Bewegungsprofil eines Nutzers erstellen. Je nach Umfang der Bibliothek ist das sogar über Jahre hinweg möglich.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Bernd Kling

Recent Posts

Weihnachts-Rabatt: Saugroboter ab 200 Euro im Angebot

Gearbest bietet den 360 S7 aktuell für knapp 337 Euro an. Der Roborock S5 Max, der über eine verbesserte Wischfunktion…

3 Stunden ago

5G-Ausbau: Telefónica setzt auf Huawei und Nokia

Die Zusammenarbeit mit Huawei und Nokia beim Aufbau eines 5G-Netzes ist allerdings abhängig von einer erfolgreichen Sicherheits-Zertifizierung der Technologie und…

4 Stunden ago

Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Der Patch Tuesday vom Dezember 2019 behebt 36 Schwachstellen, von denen sieben als "kritisch" eingestuft werden. KB4530684 hebt die Build-Nummer…

5 Stunden ago

Chrome 79 integriert Überprüfung von Passwörtern

Außerdem bietet die neue Chrome-Version weitere Funktionen zur Verbesserung der Sicherheit. Dazu zählt etwa ein Echtzeit-Blacklisting bösartiger Websites.

7 Stunden ago

Galaxy S7 und Galaxy S7 Edge: November-Patch wird ausgeliefert

Das Update steht allerdings nur für bestimmte Geräte zur Verfügung. Hierbei handelt es sich um die in der DACH-Region vertriebenen…

10 Stunden ago

Gerücht: Samsung stellt Galaxy S11 am 18. Februar 2020 vor

Die Präsentation soll dem für seine guten Kontakte bekannten Leaker Ice Universe zufolge in San Francisco stattfinden. Zudem plant der…

10 Stunden ago