iPhone: Windige 2-Faktor-Apps greifen offenbar weiter geheime "Seeds" ab
Seit Monaten warnen Sicherheitsforscher vor 2FA-Apps, die Abos unterjubeln und Daten abflieĂźen lassen. Apple hat bislang anscheinend wenig unternommen.
Nepp mit fragwürdigen Authenticator-Apps für Smartphones bleibt ein erhebliches Problem: Eine der iPhone-Apps, vor der Sicherheitsforscher bereits seit Monaten warnen, ist in Apples App Store aktuell weit oben in den Charts der Produktivitäts-Apps zu finden. Um für hohe Download-Zahlen zu sorgen, setzt die vorgebliche 2FA-App offensichtlich auch auf Apples Werbeplattform und erscheint so etwa als erster Suchtreffer für richtige – und kostenlose – 2FA-Apps wie "Microsoft Authenticator". Dabei werden auch die im Werbebanner gezeigten Screenshots angepasst, um etwa vorzugaukeln, eine Microsoft-App zu sein, wie Entwickler berichten.
Teure Abos als bequemer In-App-Kauf
Solche vorgeblichen Authentifizierungs-Apps sind nicht nur voller Werbeeinblendungen, sondern setzen zudem auf die üblichen Scam-Taktiken, um Nutzer zum Abschluss von Abos mit Verlängerungsautomatik zu locken. Dazu gehört etwa, den Schließen-Button im Kaufdialog erst mit Verzögerung anzuzeigen und die wenige Tage dauernde kostenlose Testphase prominent in den Vordergrund zu stellen.
Für ein Wochen-Abo werden schnell 5 Euro oder mehr – sprich weit über 200 Euro pro Jahr – veranschlagt. Etwas günstigere Jahrespreise sollen zugleich den Abschluss des langen Abos schmackhaft machen. Die fragwürdigen Apps haben meist viele 5-Sterne-Bewertungen, die sich allerdings nicht lesen, als hätten sie echte Nutzer verfasst.
App überträgt geheime Seeds an Dritte
Einen Mehrwert zu etablierten, kostenlosen 2FA-Tools scheinen die Apps nicht zu liefern – ganz im Gegenteil: Einzelne dieser Apps übertragen offenbar auch die eigentlich geheime "Saat" im Klartext, aus der der Einmalcode für die Zwei-Faktor-Authentifizierung bei der Anmeldung berechnet wird, wie das Entwickler-Duo Mysk berichtet. Mit Kenntnis der Seeds können Angreifer die Zwei-Faktor-Authentifizierung praktisch aushebeln und auf damit geschützte Accounts zugreifen, wenn sie Benutzernamen und Passwort dafür bereits kennen. Ob die Daten tatsächlich für solche Angriffe eingesetzt werden, bleibt allerdings unklar – der Fokus der Apps scheint auf dem Verkauf von Abos zu liegen.
Solche windigen 2FA-Apps zielen nicht nur auf iPhone-, sondern auch auf Android-Nutzer ab, sie sind also nicht nur in Apples App Store, sondern auch im Google Play Store zu finden. Man habe Apple schon vor Monaten auf das Problem hingewiesen, merkt Mysk an, das Unternehmen habe einzelne Exemplare entfernt, andere aber nicht. Apple verdient an solchen Apps gleich doppelt mit: Der Plattformbetreiber behält eine Provision für die verkauften Abos ein und verdient Geld mit den Werbeschaltungen im App Store.
(lbe)