Apple schließt Sicherheitslücke in Passwords-App: Phishing-Gefahr gebannt

MÜNCHEN (IT BOLTWISE) – Apple hat kürzlich eine bedeutende Sicherheitslücke in seiner Passwords-App geschlossen, die iOS-Nutzer über unsichere HTTP-Verbindungen anfällig für Phishing-Angriffe machte.

Apple hat eine kritische Sicherheitslücke in seiner Passwords-App geschlossen, die mit iOS 18 eingeführt wurde. Diese Schwachstelle ermöglichte es Angreifern, Nutzer auf Phishing-Seiten umzuleiten, indem sie unsichere HTTP-Verbindungen ausnutzten. Die Lücke wurde durch ein Update auf iOS 18.2 am 11. Dezember 2024 behoben, jedoch erst kürzlich öffentlich gemacht. Die Sicherheitslücke, bekannt als CVE-2024-44276, erlaubte es Angreifern, in privilegierter Netzwerkposition vertrauliche Informationen abzufangen.

Die Sicherheitsforscher Tommy Mysk und Talal Haj Bakry entdeckten die Schwachstelle und meldeten sie an Apple. In einem Beitrag auf Mastodon erklärten sie, dass die Funktion zur Passwortänderung in der Passwords-App standardmäßig über unsichere HTTP-Verbindungen abgewickelt wurde. Dies ermöglichte es Angreifern, die Anfragen abzufangen und Nutzer auf gefälschte Webseiten umzuleiten, um dort sensible Daten zu erlangen.

Ein erfolgreicher Phishing-Angriff erforderte Zugang zum Netzwerk des Opfers, was in öffentlichen WLAN-Netzen wie in Cafés oder Flughäfen relativ einfach zu erreichen ist. Selbst in privaten Netzwerken könnte ein kompromittiertes Gerät ausreichen, um den Datenverkehr abzufangen. Die Lösung bestand darin, die Passwords-App auf sichere HTTPS-Verbindungen umzustellen, um die Sicherheit der Nutzer zu gewährleisten.

Apple entschied sich jedoch, den Entdeckern der Sicherheitslücke keine Belohnung zu gewähren, da das Problem nicht die Kriterien für eine Belohnung erfüllte. Dies wirft Fragen über die Anerkennung von Sicherheitsforschern auf, die entscheidend zur Verbesserung der Sicherheit von Softwareprodukten beitragen.

Die Schließung dieser Sicherheitslücke ist ein wichtiger Schritt, um die Sicherheit von iOS-Nutzern zu erhöhen. Dennoch bleibt die Frage, wie Unternehmen mit der Entdeckung von Schwachstellen umgehen sollten, um sowohl die Sicherheit ihrer Produkte als auch die Motivation der Forscher zu fördern. Die Umstellung auf HTTPS ist ein notwendiger Schritt, um die Integrität und Vertraulichkeit von Daten zu schützen.

In der Vergangenheit haben ähnliche Sicherheitslücken in anderen Anwendungen gezeigt, wie wichtig es ist, auf sichere Verbindungen zu setzen. Die Umstellung auf HTTPS sollte als Standardpraxis in der Softwareentwicklung angesehen werden, um die Risiken von Phishing und anderen Angriffen zu minimieren. Unternehmen müssen proaktiv handeln, um die Sicherheit ihrer Nutzer zu gewährleisten und das Vertrauen in ihre Produkte zu stärken.

Die Bedeutung von Sicherheitsforschung kann nicht genug betont werden. Forscher wie Mysk und Bakry leisten einen wertvollen Beitrag zur Verbesserung der digitalen Sicherheit. Es ist entscheidend, dass Unternehmen diese Bemühungen anerkennen und unterstützen, um eine sicherere digitale Welt zu schaffen.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.944 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen