Apple Passwörter-App: Problematischer Bug soll Monate bestanden haben
Angreifer in "privilegierter Netzwerkposition", also etwa im gleichen WLAN, konnten Details aus Apples Passwörter-App mitlesen. Darüber waren Angriffe möglich.
Apple-Logo am Haken (Symbolbild): Passwörter-App mehrere Monate für Phishing anfällig.
(Bild: Erstellt mit Midjourney durch Mac & i)
Apple hat mit dem im Dezember veröffentlichten iOS 18.2 eine Sicherheitslücke behoben, die die Passwörter-App betraf. Details hat nun der Sicherheitsforscher Tommy Mysk veröffentlicht. Demnach war es über mehrere Monate lang zumindest theoretisch möglich, bestimmte Arten von Phshing-Angriffen auf Nutzer im gleichen Netz zu fahren. Der Grund: Apple verschlüsselte verschiedene Abfragen der Passwörter-Anwendung schlicht nicht. Der Datenverkehr konnte also mitgeschnitten werden, etwa wenn man sich in einem WLAN oder Ethernet-Netzwerk mit dem Opfer befand.
Unverschlüsselte Weiterleitung auf Passwort-Reset-Website
Warum es so lange dauerte, bis Apple einen Patch brachte – iOS 18 war mit dem Fehler bereits im September erschienen –, ist unklar. Die simple Beschreibung des Problems laut Apple: "Ein Benutzer in einer privilegierten Netzwerkposition kann sensible Informationen leaken." Das Problem sei behoben worden, in dem der Datenverkehr nun mit HTTPS verschlüsselt werde. Betroffen war neben iOS auch iPadOS bis 18.2.
Videos by heise
Entdeckt wurde der Fehler, nachdem der sogenannte App Privacy Report eines Geräts von Mysk die Kontakierung von 130 verschiedenen Websites über eine unsichere HTTP-Verbindung anzeigte. Wie sich zeigte, wurden darüber Account-Logos und/oder Icons angefordert. Zudem war die Default-Einstellung, dass bekannte Passwort-Reset-Formulare von der App zunächst unverschlüsselt aufgerufen wurden. Wie Mysk gegenüber dem Apple-Blog 9to5Mac sagte, ermöglichte dies das Abfangen eines solchen Aufrufs samt Umleitung auf eine Phishing-Website.
Icon-Abfrage nicht zu verhindern
Ob es zu solchen Angriffen tatsächlich kam, ist unklar. Apple nennt keine dem Konzern vorliegenden Berichte. "Wir waren überrascht, dass Apple HTTPS bei einer so sensiblen App nicht defaultmäßig erzwingt", schreibt Mysk. Hinzu kommt ein weiteres Problem: Die App ermöglicht es nicht, die Abfrage von Icons zu verhindern.
"Ich fühle mich nicht wohl dabei, dass mein Passwortmanager ständig jede Website, für die ich ein Passwort damit verwalte, anpingt – auch wenn die Aufrufe, die die Passwörter-App sendet, keine ID enthalten." Denkbar ist allerdings, dass Apple das über einen Proxy durchführt. Unverschlüsselt darf das jedoch einfach nicht sein. Mysk demonstrierte den von ihm entdeckten Angriff unter anderem an einer Website, die Live.com von Microsoft vorspiegelte und darüber dann Passwörter abgriff.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
