Feature

Apple ID: Phishing-Angriffe auf Passwörter möglich

iPhone und iPad-User kennen Das: In regelmäßigen Abständen erscheint ein Fenster, das zur Eingabe des iTunes-Kennwortes auffordert. Das iTunes-Kennwort entspricht dem der Apple ID. Durch die Häufigkeit dieser Abfrage sind viele User von iOS inzwischen darauf konditioniert, an dieser Stelle ohne weitere Zweifel ihr Kennwort einzugeben. Eine App könnte diesen Dialog für Phishing-Angriffe nachstellen.

Der Entwickler Felix Krause demonstriert in seinem Blog-Post, wie einfach es mit nur 30-Zeilen Programmcode möglich wäre, genau den Eingabedialog in einer App nachzustellen. Er geht sogar soweit, dass der Code dazu schon fast vollständig in der Dokumentation von Apple enthalten sei. Es handelt sich um eine normale Dialogbox.

Phishing-Angriffe per App

Auch das „Vorbeischleusen“ am App-Store-Review-Team sei laut Krause kein Problem. Es gäbe mehrere Methoden, eine App so zu entwickeln, dass sie nach dem Review durch Apple Funktionen ausführen kann, die zum Zeitpunkt des Reviews nicht vorhanden waren.

Dieser Dialog erscheint regelmäßig und fordert zur Eingabe des Apple-ID-Passwortes auf. Er kann leicht nachgebaut werden.

Selbst ein Account mit aktivierter Zwei-Faktor-Authentifizierung sei nicht 100% gegen Phishing geschützt, denn eine passend ausgestattete App könnte auch diesen simulieren.

Wie kann man an Angriff erkennen?

Krause schildert das Problem als eine Kombination aus Apples häufiger Abfrage des Passwortes und der daraus resultierenden Konditionierung der Anwender, dieses ohne Bedenken einzugeben. Es gibt allerdings eine Methode, wie man die Echtheit des Dialogs überprüfen kann. Sollte die Box legitim angezeigt werden, kann die App nicht durch drücken des Homebuttons beendet werden. Nur durch ein Tippen auf „Abbrechen“ verschwindet der Dialog. Der Grund dafür: Es handelt sich um einen System-Dialog der in einem anderen Prozess abläuft, als die Apps.

Mehr Misstrauen ist hilfreich

Eine mit „Phishing-Funktionen“ ausgestattete App würde auf jeden Fall beim Druck auf den Homebutton in den Hintergrund geschoben. Generell sollte man immer etwas vorsichtig und misstrauisch gegenüber allzu häufigen Passwortabfragen sein, mahnt Krause in seinem Artikel.

Michael Reimann

Neueste Artikel

Apple-Shopping-Event: bis zu 200 Euro Gutschein zum Kauf dazu

Apple startet sein Shopping-Event am 29. November. Kauft man ein qualifiziertes Produkt erhält man vom Konzern bis zu 200 Euro…

21. November 2024

Indonesien prüft 100-Millionen-Dollar-Investment von Apple zur Aufhebung des iPhone-16-Verbots

Die indonesische Regierung wird am Donnerstag über ein 100-Millionen-Dollar-Investitionsangebot von Apple beraten. Dieses Angebot ist Teil des Versuchs, das Verkaufsverbot…

21. November 2024

iOS 18.2 Public Beta 3 veröffentlicht: Was ist neu?

Die dritte Public Beta von iOS 18.2 ist jetzt verfügbar und bringt kleinere Verbesserungen, Bugfixes und Performance-Optimierungen. Mit der Veröffentlichung…

21. November 2024

Apples „Schnelle Sicherheitsmaßnahmen“: Ein ungenutztes Potenzial?

Im Mai 2023 führte Apple mit den sogenannten "Schnellen Sicherheitsmaßnahmen" (englisch: Rapid Security Responses) eine neue Methode ein, um Sicherheitslücken…

21. November 2024

Shazam erkennt 100 Milliarden Songs: Ein globaler Meilenstein

Shazam, die beliebte Musikerkennungs-App von Apple, hat einen beeindruckenden Rekord erreicht: Über 100 Milliarden Songs wurden seit der Einführung des…

21. November 2024

Apple und der US-Monopolprozess: Der nächste große Tech-Kampf?

Apple steht vor einer entscheidenden Anhörung, bei der das Unternehmen versuchen wird, einen US-Monopolprozess gegen sich abzuwehren. Der Fall, eingereicht…

20. November 2024

Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.

Mehr lesen