Sicherheitslücke in Apples Passwort-App ermöglichte monatelang Phishing-Angriffe

Apple hat im Dezember mit iOS 18.2 eine kritische Sicherheitslücke in der Passwort-App geschlossen. Der Fehler bestand bereits seit der Einführung von iOS 18 und machte Nutzer:innen über Monate hinweg anfällig für Phishing-Angriffe.

Unverschlüsselte Anfragen führten zu Sicherheitsrisiko

Laut einem von 9to5Mac entdeckten Apple-Sicherheitsupdate war die Passwort-App anfällig, weil sie ungenutzte Anfragen für Logos und Symbole gespeicherter Passwörter unverschlüsselt versandte. Dies ermöglichte Angreifern auf demselben WLAN-Netzwerk, Nutzer:innen auf gefälschte Login-Seiten umzuleiten und Anmeldeinformationen abzufangen.

Die Schwachstelle wurde erstmals von den Sicherheitsforschern von Mysk entdeckt und bereits im September an Apple gemeldet. In den offiziellen Sicherheitsnotizen zu iOS 18.2 beschreibt Apple das Problem als Risiko, bei dem ein Angreifer in einer „privilegierten Netzwerkposition“ sensible Daten abfangen konnte.

Apple behebt den Fehler mit iOS 18.2

Mit der Veröffentlichung von iOS 18.2 wurde das Problem behoben. Apple führte eine HTTPS-Verschlüsselung für die betroffenen Netzwerkverbindungen ein, um ungesicherte Anfragen zu verhindern.

Die Schwachstelle betraf nicht nur das iPhone, sondern auch andere Apple-Geräte. Apple listet die Sicherheitskorrektur in den Updates für Mac, iPad und Vision Pro, was darauf hindeutet, dass das Problem systemübergreifend bestand.

Bedeutung für die Sicherheit von Apple-Nutzer:innen

Die Sicherheitslücke zeigt, dass selbst systemeigene Apple-Apps nicht vor Fehlern gefeit sind. Nutzer:innen sollten sicherstellen, dass sie ihre Geräte auf die neueste Version aktualisiert haben, um sich vor bekannten Schwachstellen zu schützen.

Via: Marumors