Passwort-Phishing in iOS: Apple hat ein Pop-up-Problem

iPhone- und iPad-Nutzer kennen die Fenster, die manchmal aufpoppen und in denen das Betriebssystem nach Apple-ID-Angaben fragt. Ein Entwickler zeigt nun, dass sie sich fälschen lassen.

In Pocket speichern vorlesen Druckansicht 268 Kommentare lesen
Passwort-Phishing in iOS: Apple hat ein Pop-up-Problem

(Bild: Felix Krause)

Lesezeit: 2 Min.

Die Apple-ID, Apples zentrales Kundenmerkmal, wird in unregelmäßigen Abständen vom iOS-Betriebssystem abgefragt – etwa, wenn man mit seinem Gerät längere Zeit offline war. Der Nutzer wird dann gebeten, sich erneut beim iTunes- oder App-Store anzumelden. Oft wird parallel die E-Mail-Adresse gezeigt, manchmal aber nur das Passwort verlangt.

Nutzer sind dieses Fenster als legitim gewöhnt – doch ist es auch möglich, es zu fälschen, um Passwortdaten abzugreifen. Das hat nun der Entwickler und IT-Unternehmer Felix Krause, der für Google tätig ist, in seinem Blog dargelegt: "Wie Sie ganz einfach das Apple-ID-Passwort bekommen – Sie müssen einfach fragen."

Krause hat dazu auch ein Proof-of-Concept-Modell entwickelt. Ein böswilliger Entwickler könnte auf die Idee kommen, derlei Code in seine App zu integrieren. Zwar leistet Apple üblicherweise einen guten Job, iOS-Apps vor der Zulassung im App Store zu kontrollieren. Allerdings fürchtet Krause, dass ein derart simples Pop-up nachträglich eingeschmuggelt werde könnte.

So könnte etwa Remote-Code über React Native oder eine eigene JavaScript-Bridge eingeführt, der böswillige Code erst nach der Zulassung der App im App Store aktiviert oder ein zeit- oder geobasierter Trigger verwendet werden. Solche Beispiele gab es schon in der Praxis: Der Taxidienst Uber hatte beispielsweise Apple einst ausgetrickst und ein iPhone-Fingerprinting integriert, das ausgerechnet nur in Cupertino inaktiv war.

Krause, der selbst Experte für die Entwicklung mobiler Apps ist, forderte Apple auf, die Abfrage des Passworts nicht mehr einfach nur per Pop-up durchzuführen, sondern den Nutzer in die Systemeinstellungen weiterzuleiten, die garantiert von Apple kontrolliert werden.

Zudem sei die – scheinbar zufällige – Abfrage des Passworts, die iOS durchführt, das Kernproblem. Er selbst habe den Dialog über Monate regelmäßig gesehen, bis er schließlich verschwunden sei. Nutzer sind darauf trainiert, der Abfrage nachzugeben. Dialoge von Apps sollten zudem das App-Icon enthalten, sagt Krause, damit man feststellen kann, dass das Pop-up nicht vom System kommt.

[Update 11.10.17 11:00 Uhr:] Eine Möglichkeit, einen Phishing-Versuch zu erkennen, ist das schlichte Betätigen der Home-Taste, wenn der Passwort-Dialog erscheint. Handelt es sich um eine echte Abfrage, darf der Prompt nicht verschwinden – kommt sie von einer App, landet man auf dem Homescreen. (bsc)