Skip to content

Entwickler zeigt mögliche Phishing-Attacke auf Passwörter durch iOS-Apps

Geschrieben von Florian Schimanke am

In den vergangenen Stunden machten Berichte über eine mögliche Phishing-Attacke die Runde, in der iOS-Benutzer ausgetrickst werden können, ihr Apple ID Passwort einer Angriffs-App gegenüber preiszugeben. Aus meiner Sicht ist es dabei weniger die Gefahr als solche, als vielmehr die Tatsache als solche überraschend, dass diese Möglichkeit bislang noch nicht viel stärker in den Fokus gerückt war. Dies hat nun der deutsche Entwickler Felix Krause übernommen, der demonstriert, wie einfach ein so genannter Alert View dafür genutzt wird, Apples Passwort-Abfrage für den iTunes Store zu imitieren, die einem immer mal wieder während der Benutzung eines iPhone oder iPad angezeigt wird. In diesem Fall geschieht dies innerhalb der schadhaften App und stammt eben nicht vom System selbst. Für den Nutzer, der an derartige Einblendungen inzwischen gewöhnt ist, ist dies jedoch nicht wirklich zu erkennen. Im Hintergrund kann das eingegebene Passwort dann aber natürlich von dieser App ausgelesen werden.

Um erkennen zu können, ob die Passwortabfrage von einer Malware oder tatsächlich vom System selber stammt, empfiehlt Krause beim Erscheinen des Pop-Ups auf den Homebutton zu drücken. Verschwindet die Abfrage inklusive der geöffneten App, handelte es sich um einen Phishing-Angriff, bleibt es hingegen angezeigt, stammt die Abfrage tatsächlich von Apple. Zudem empfiehlt der Entwickler, die Abfrage grundsätzlich abzubrechen und anschließend innerhalb der Einstellungen das Passwort manuell einzugeben. Genau diesen Vorschlag hat er zudem auch in seiner Meldung an Apple gemacht. Als Nutzer sollte man zudem die Zwei-Faktor-Authentifizierung für seine Apple ID aktivieren.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Joe am :

Die Frage, ob dies so m\366glich ist habe ich mir auch schon gestellt. Diese M\366glichkeit bietet sich vollkommen unabh\344ngig vom Betriebssystem.
Oder sch\374tzt sich irgendein OS vor solchen Popups in dem es diese analysiert?

Hurti am :

2-weg und man kann es abhaken

colouredwolf am :

Falsch!
Das Passwort wird dann benutzt, um das MBP fernzusperren und iCloud auszulesen.

RR703 am :

Hallo,
Das ist definitiv eine Sicherheitsl\374cke. Ob die nun bei Android oder Win 10 Mobile existiert interessiert nur am Rande.
Das Problem ist das nicht jeder Nutzer paranoid veranlagt ist und somit darauf hereinf\344llt.

Prinzipiell ist hier Apple in der Bringepflicht ein Update zu liefern, um diesen Bug (?) zu entfernen.

Viele Gr\374\337e aus Dresden
Ralf

Mac Taylor am :

wenn man unsicher ist, einfach mal das falsche Passwort eingeben. Wenn keine Fehlermeldung kommt, war es wohl Fake.

Empfiehlt sich auch bei kompromittierten Geldautomaten (zumindest wenn man unsicher ist).

Weilicheinapfelbin am :

Korrekt Hurti!!!

XfrogX am :

Naja das Thema sollte ja eigentlich recht einfach sein.

Erstens diese Meldungen von einer App d\374rften nur Text beinhalten. Wenn es noch nicht so ist \344ndern.

Zweitens Apple f\374gt ihr Logo als Bild in die offizielle Meldung ein. Und oder nutzt eine extra Font auf den die anderen keinen Zugriff haben.

Klar phishing wird es immer geben und jeder kennt die oft miserablen e-Mails und falschen Webseiten die trotzdem Leute \374berlisten.

Aber aktuell ist es echt zu nah am Original dran.

Vorallem sehe ich das Risiko nat\374rlich wenn es gezielt genutzt wird um ans Passwort zu kommen. Also die App irgendwie rein schmuggeln (jemanden \374berreden, Werbung ...) dann hat man n\344mlich auch Zugriff direkt aufs Ger\344t was ja wohl gerade durch Apple Pay das interessanteste ist.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen