11.10.2017
Phishing-Apps
So einfach ist es, Apple-ID-Passwörter zu klauen
Autor: Luca Perler
wk1003mike / shutterstock.com
Bei Apple-Geräten erscheinen regelmäßig Pop-ups, welche die Eingabe des iTunes-Passworts verlangen. Ein Software-Entwickler hat nun herausgefunden, wie diese gefälscht werden können.
iPhone oder iPad sein Eigen nennt, kennt die plötzlich erscheinenden Pop-up-Fenster wohl bestens, die zur Eingabe des Apple-ID-Kennworts auffordern. Der Software-Entwickler Felix Krause hat nun herausgefunden, dass sich diese sehr gut dafür eignen, um Passwörter von Nutzern zu entwenden, wie er in einem Blog-Beitrag erläutert. "iOS verlangt das iTunes-Passwort aus verschiedensten Gründen, etwa nach einem Software-Update", schreibt Krause. Folglich seien User darauf trainiert, ihr Kennwort einzugeben, sobald sie danach gefragt werden.
Wer ein Grundsätzlich ist es laut Krause deshalb auch nicht sonderlich schwierig, eine Phishing-App zu schreiben, die nach dem Passwort fragt. Einzige Hürde sei dabei die Sicherheitsprüfung von Apple. Aber auch dafür hat er eine Lösung parat. Entwickler könnten ein entsprechendes Pop-up nachträglich einschmuggeln, das sich erst nach der Zulassung im App-Store aktiviert. In einem "Proof of Concept" zeigt Krause nun, dass es möglich ist, in Apps eine Kennwortabfrage zu integrieren, die jener von Apple bis ins kleinste Detail gleicht.
Wie erkennt man Phishing-Angriffe?
Krause liefert allerdings auch einige Tipps, damit sich Nutzer vor solchen Phishing-Angriffen schützen können. Der Entwickler empfiehlt etwa, den Home-Button zu drücken, sobald eine Passworteingabe gefordert wird. "Wird dadurch die App mitsamt Dialog geschlossen, handelt es sich um eine Phishing-Attacke", schreibt er. Bleibt das Fenster hingegen sichtbar, kann das Passwort eingegeben werden. Denn dann handle es sich um einen Systemdialog, der nicht Teil einer iOS-App sei.
Schutz vor solchen Fallen liefert laut Krause auch die 2-Faktor-Authentifizierung. Er empfiehlt deshalb allen Nutzern, diese einzuschalten. So können sich Hacker zumindest keinen Zugang zum Apple-Konto verschaffen. Bei schlechten Gewohnheiten komme hierbei allerdings eine weitere Problematik hinzu: "Weil viele User eine Kombination aus Nutzername und Passwort oft nicht nur bei der Apple-ID verwenden, ist möglicherweise die Sicherheit anderer Webdienste gefährdet."
Um die Situation zu entschärfen, nimmt Krause aber auch Apple in die Pflicht. Er schlägt vor, dass das Apple-ID-Kennwort künftig nicht mehr direkt, sondern über die Einstellungen eingegeben werden soll. Für mehr Transparenz könne zudem etwa sorgen, dass in der rechten oberen Ecke der Dialogbox das Logo der entsprechenden App eingeblendet wird, sofern eine Anwendung für das Erscheinen der Aufforderung verantwortlich ist. Und schließlich sollen Nutzer laut Krause grundsätzlich nicht ständig aufgefordert werden, ihr Passwort einzugeben.
Swissbit
Speicherkarten mit Lizenzschutz-Vorbereitung
Die Swissbit-Speicherkarten der neuen Serie PS-66(u) unterstützen die Out-of-the-box-Nutzung der CodeMeter-Technologie für Softwareschutz und Lizenzverwaltung von Wibu-Systems.
>>
Auktion
136.000 Euro für ein altes iPhone
In den USA wurden Apple-Produkte und Devotionalien zu teilweise gewaltigen Summen versteigert. Eine von Steve Jobs signierte Visitenkarte brachte 167.000 Euro.
>>
WWDC 24
Apple Worldwide Developers Conference ab 10. Juni 2024
Apple informiert, dass die Worldwide Developers Conference (WWDC) vom 10. bis 14. Juni 2024 online stattfindet. Für Entwickler und Studierende wird es am Eröffnungstag die Möglichkeit geben, persönlich bei einer speziellen Veranstaltung im Apple Park mit dabei zu sein.
>>
Microsoft
Windows - RSA-Schlüssel müssen 2048 Bit lang sein
Microsoft hat angekündigt, dass RSA-Schlüssel, die kürzer als 2048 Bit sind, in Windows Transport Layer Security (TLS) bald auslaufen, um die Sicherheit zu erhöhen.
>>