iOS News – Gravierende Sicherheitslücke erlaubt Diebstahl der AppleID!

Der österreicher Entwickler Felix Krause hat eine schwerwiegende Sicherheitslücke bei Apples Betriebssystem iOS aufgedeckt. Mit einer einfachen Phishing-Falle kann man so Millionen iOS-Nutzern das Passwort für ihre AppleID entlocken – ohne dass man selbst auch nur den Hauch einer Chance hat, den Betrug zu bemerken. Ob bei der Verwendung des iPads, nachdem es eine Zeit lang nicht genutzt wurde, oder der Installation eines neuen Firmware-Updates: Apple-User sind es gewöhnt, zur Bestätigung eines derartigen Vorgangs ihre Apple ID in einem Pop-Up-Fenster einzugeben – so auch ich als Nuter eines dienstlichen Apple iPhone 5S .

Durch die Eingabe der AppleID gewährleistet Aplle die Kontrolle, dass der User, der sich in iTunes oder im AppStore neu anzumelden versucht, auch wirklich der Besitzer des jeweiligen Accounts ist. Wie der Entwickler und IT-Unternehmer Felix Krause in seinem Blog jetzt verlauten ließ, lassen sich ebenjene Passwortabfragen in Pop-Up-Fenstern sehr leicht fälschen, denn ein App-Entwickler könnte den zugehörigen Schad-Code problemlos in seine eigene App integrieren.

Krause zufolge sind iOS-Nutzer derart an die Eingabe Ihrer AppleID in das, hierfür gedachte,  Pop-Up-Fenster gewöhnt, dass böswillige Entwickler dies sehr leicht für „Passwort-Phishing“, also dem Diebstahl der Daten, nutzen könnten.

Phishing-Falle schnell und einfach einzurichten

Da die angesprochenen Pop-Ups nicht nur in offiziellen iOS-Apps abgefragt werden, sondern beispielsweise auch, wenn eine externe App Zugriff auf iTunes oder AppStore braucht, sieht Krause eben hierin die größte Gefahr für die Benutzer. Das schlimmste: Die Implementierung eines solchen schadhaften Codes wäre für einen App-Entwickler, nicht einmal sonderlich schwierig.

dlx0jwrw0aaflle

Zwar ist Apple grundsätzlich dafür bekannt, bei der Kontrolle von Apps, die in den AppStore aufgenommen werden sollen, sehr akribisch und detailliert vorzugehen, jedoch liegt das Problem – laut Felix Krause – eher darin, dass ein so unscheinbarer Codeblock auch nachträglich, beispielsweise durch einen zeit- oder geobasierten Auslöser, eingefügt werden kann.

Betrugsversuch schwer zu erkennen

Der inzwischen für Google tätige Krause betont in der Folge auch, dass eine weitere Gefahr der Pop-Ups sei, dass selbst erfahrene, technikkundige Nutzer die echten Apple Fenster nicht oder wenn überhaupt nur schwer von den gefälschten Phishing-Versuchen unterscheiden können.

Der IT-Entwickler fordert daher von Apple, dass diese die Abfrage der AppleID künftig nicht mehr in Form eines Pop-Up durchführen: Stattdessen solle dies ausschließlich direkt in den Einstellungen geschehen, wo Apple die Abläufe selber vollumfänglich kontrollieren kann. Außerdem schlägt Krause vor, bei der AppleID-Abfrage von Drittanbietern deren Logo anzuzeigen, damit der User weiß, dass die Abfrage nicht von Apple selbst kommt.

So schützt Ihr euch

Um nicht Opfer einer solchen Phishing-Attacke zu werden, empfiehlt Felix Krause Apple-Usern folgende Vorgehensweisen:

  • Wenn eine AppleID-Abfrage aufpoppt, sollte man als erstes den Home Button drücken: Gelangt man so direkt zum Homescreen, handelt es sich um ein „bösartiges“ Pop-Up. Sieht man Dialog und Fenster trotzdem noch, ist die Abfrage wiederum legitim.
  • Genauso wie man unbekannte Links aus E-Mails nie anklicken sollte, sollte man seine Daten niemals direkt in ein Pop-Up eintragen. Es ist sicherer, die Einstellungen grundsätzlich manuell zu öffnen und sich dort um die Abfrage zu kümmern.
  • Selbst wenn das Passwort nur teilweise eingetragen wird und/oder nicht abgeschickt wird, kann die Malware die ID’s häufig trotzdem erschließen.

 

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s

Create a website or blog at WordPress.com

Nach oben ↑

%d Bloggern gefällt das: