Schrift:
Ansicht Home:
Netzwelt

Sicherheitslücke

So könnte man Ihre Apple-ID klauen - theoretisch

Ein Entwickler hat einen Weg gefunden, iPhone-Nutzern ihre Apple-Passwörter abzuluchsen. Lesen Sie hier, wie sich solche Angriffe abwehren lassen.

Felix Krause

Echte (links) und gefälschte Passwortabfrage in iOS

Mittwoch, 11.10.2017   15:39 Uhr

Jeder Apple-Nutzer kennt das: Immer, wenn man ein neues Apple-Gadget eingerichtet hat, manchmal aber auch vollkommen unerwartet, ploppt eine Dialogbox, wie die in dem Bild oben gezeigten, auf dem Bildschirm auf. Die Abfrage verlangt, man möge doch bitte das Passwort zu seiner Apple-ID eingeben. Oft ist das nervig, aber die Abfragen sollen helfen, die Sicherheit zu verbessern. Jetzt hat allerdings der iOS-Entwickler Felix Krause einen Weg gefunden, diese Dialogboxen zu fälschen.

In seinem Blog schreibt Krause, es sei "erschütternd einfach" gewesen, Apples Passwortabfrage in einer eigenen App nachzubauen. Wie das im Einzelnen geht, habe er aber "aus moralischen Gründen" nicht öffentlich machen wollen.

Vielmehr wolle er darauf aufmerksam machen, dass zumindest theoretisch die Möglichkeit besteht, sich mit solchen gefälschten Passwortabfragen Zugang zu den Accounts von Apple-Nutzern zu verschaffen. Die seien wegen der häufigen Abfragen nämlich daran gewohnt, ihr Passwort einfach einzutippen, sobald eine entsprechende Anfrage auf dem Bildschirm erscheint.

Noch ist das nur Theorie

Krause räumt ein, dass es Kriminellen wohl nicht ganz leicht fallen dürfte, seine Methode in der Realität umzusetzen. "Apple macht einen hervorragenden Job dabei, Anwender vor gefährlichen Apps zu schützen", schreibt er in seinem Blogeintrag. Alle Apps würden von Apple kontrolliert, bevor sie im App Store landen. Laut Krause gibt es allerdings auch Möglichkeiten, Teile einer App zeitgesteuert erst später oder ferngesteuert zu aktivieren und so an Apples Kontrollen vorbei zu schleusen.

Fotostrecke

Für iPhone, iPad und iPod touch: Die wichtigsten Neuerungen von iOS 11

Noch ist all das reine Theorie. Für ihn sei das ein Hobbyprojekt gewesen, an dem er in seiner Freizeit gearbeitet habe, sagt Krause dem SPIEGEL. Hinweise, dass die von ihm skizzierte Methode schon von kriminellen Hackern benutzt wird, gibt es nicht.

Einfach mal die Home-Taste drücken

Seine Erkenntnisse hat Krause am 9. Oktober an Apple gemeldet. Eine Reaktion des Konzerns steht noch aus. Der Entwickler schlägt vor, die Art wie Apples iOS Passwortabfragen handhabt zu ändern. Etwa derart, dass Apps nicht mehr selbst nach dem Apple-ID-Passwort fragen dürfen, sondern den Nutzer zur Eingabe des Passworts immer in die Systemeinstellungen umleiten müssen.

Es gibt allerdings eine simple Methode, um zu überprüfen, ob eine solche Passwortabfrage legitim ist: Man muss im Zweifel einfach die Home-Taste drücken. Krause erklärt: "Wenn die App und die Dialogbox dann verschwinden, handelte es sich um einen Phishing-Angriff." Kommt die Passwortabfrage hingegen vom Betriebssystem selbst, lässt sich die Dialogbox nicht über die Home-Taste schließen.

Noch sicherer ist man allerdings, wenn man seine Apple-ID über eine zweistufige Authentifizierung absichert. Denn dann ist es mit der Eingabe des Passworts nicht getan und man muss zusätzlich einen Zahlencode eingeben, der von Apple an ein als vertrauenswürdig eingestuftes Gerät gesendet wird. Wie man dieses System einrichtet, erklären wir in der folgenden Fotostrecke:

mak

insgesamt 8 Beiträge
Nonvaio01 11.10.2017
1. ich frage mich gerade
wie der artikel wohl ausgesehen haette wenn es sich um Android gehandelt haette und nicht Apple. So heisst es einfach...so schlimm ist es nicht. Sorry aber ich finde es extrem krass und einen erheblichen fehler wenn man soetwas [...]
wie der artikel wohl ausgesehen haette wenn es sich um Android gehandelt haette und nicht Apple. So heisst es einfach...so schlimm ist es nicht. Sorry aber ich finde es extrem krass und einen erheblichen fehler wenn man soetwas einfach machen kann, einfach fahrlaessig.
chk23 11.10.2017
2.
Wenn es sich um Android gehandelt hätte, dann hätte die Meldung exakt genau so ausgesehen. Zudem dürfte sich dieser "Trick" auch bei Android Geräten mit dem Google-Account und dem Google Playstore funktionieren, da [...]
Wenn es sich um Android gehandelt hätte, dann hätte die Meldung exakt genau so ausgesehen. Zudem dürfte sich dieser "Trick" auch bei Android Geräten mit dem Google-Account und dem Google Playstore funktionieren, da dort das Passwort auch häufiger nachgefragt wird - siehe zB hier: https://www.android-hilfe.de/forum/google-play-store-android-market.122/staendige-passwort-abfrage-im-play-store.364657.html Es lässt sich nun mal schwer verhindern, eine Eingabemaske nachzubauen und diese von einer App aus einzublenden. So funktionieren nun mal *sämtliche* Phishing Attacken, und das einzige , was man wirklich effizient dagegen tun kann, ist sich zu informieren, und zu lernen diese vom "Original" zu unterschieden (wie ja auch hier im Artikel beschrieben wird). Im übrigen musste ich zB schon seit Ewigkeiten kein Apple-ID Passwort mehr eingeben, da ich mich generell mit dem Fingerabdruck-Sensor im Appstore authentifiziere.
st.esser 11.10.2017
3. Ist doch ein allgemeines Problem ...
Abgesehen davon, dass Apple die 2-Faktor-Authentisierung praktisch erzwingt, und der Angriff damit wie im Artikel beschrieben gar nicht ausführbar ist: Gefälschte Passwort-Dialoge sind doch kein neues Problem, die gibt es [...]
Zitat von Nonvaio01wie der artikel wohl ausgesehen haette wenn es sich um Android gehandelt haette und nicht Apple. So heisst es einfach...so schlimm ist es nicht. Sorry aber ich finde es extrem krass und einen erheblichen fehler wenn man soetwas einfach machen kann, einfach fahrlaessig.
Abgesehen davon, dass Apple die 2-Faktor-Authentisierung praktisch erzwingt, und der Angriff damit wie im Artikel beschrieben gar nicht ausführbar ist: Gefälschte Passwort-Dialoge sind doch kein neues Problem, die gibt es seit Jahrzehnten. Bei Windows wird deshalb "Ctrl-Alt-Del" so vom Betriebssystem abgefangen, dass man nach diesem Tastendruck in einen "sicheren" Modus kommt, z.B. um sein Passwort zu ändern. Aber auch in Windows könnte man trivial ein Bild erscheinen lassen, dass dem normalen Screen-Saver entspricht und dann die Passwortabfrage ablaufen lassen (obwohl der Bildschirm gar nicht wirklich gesperrt war). Und dagegen hilft Ctrl-Alt-Del. Bei einem Smartphone sind die verfügbaren Bedienelemente beschränkt, aber wie (auch im Artikel beschrieben) kann man durch drücken der Home-Taste genau den gleichen Effekt erreichen wie mit Ctrl-Alt-Del in Windows: Ein laufendes Programm wird unterbrochen (bzw. geht in den Hintergrund) und das Betriebssystem übernimmt die Kontrolle. Also nichts, worüber man sich aufregen müsste. Nur dass den meisten Benutzern wahrscheinlich nicht bekannt ist, dass sie diesen Test auf die "Echtheit" eines Passwort-Felds machen können, nämlich die Home-Taste drücken und schauen, ob es bleibt oder verschwindet ...
pahrump 11.10.2017
4. wie bekommt
er meine Apple-ID in den Abfragetext? Ich gucke da jedenfalls immer drauf.
er meine Apple-ID in den Abfragetext? Ich gucke da jedenfalls immer drauf.
hietzinger 11.10.2017
5. einfach
klar ist, dass man so eine dialogbox einfach nachbauen kann, aber: es ist sicher nicht einfach die kontrollmechanismen von apple zu überlisten und eine solche app im apple-store unterzubringen. wer das behauptet soll es [...]
klar ist, dass man so eine dialogbox einfach nachbauen kann, aber: es ist sicher nicht einfach die kontrollmechanismen von apple zu überlisten und eine solche app im apple-store unterzubringen. wer das behauptet soll es versuchen.

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP