Apples Passwort-App: Sicherheitslücke ermöglichte Phishing-Angriffe

CUPERTINO / MÜNCHEN (IT BOLTWISE) – Apples neue Passwort-App, die mit iOS 18 eingeführt wurde, stand in den letzten Monaten im Mittelpunkt einer Sicherheitsdebatte. Eine kürzlich entdeckte Schwachstelle machte die App anfällig für Phishing-Angriffe, was die Sicherheitsgemeinschaft alarmierte.

Mit der Einführung von iOS 18 hat Apple seine Passwortverwaltungstools aus den Einstellungen herausgelöst und als eigenständige App namens Passwords veröffentlicht. Diese Neuerung sollte die Verwaltung von Anmeldedaten für die Nutzer bequemer gestalten. Doch nun wurde bekannt, dass ein schwerwiegender HTTP-Fehler die Nutzer der Passwords-App fast drei Monate lang anfällig für Phishing-Angriffe machte, bis das Problem mit dem Update auf iOS 18.2 behoben wurde.

Sicherheitsforscher von Mysk entdeckten die Schwachstelle, als sie bemerkten, dass der App-Datenschutzbericht ihres iPhones zeigte, dass die Passwords-App über unsicheren HTTP-Verkehr mit 130 verschiedenen Websites kommunizierte. Diese Entdeckung veranlasste die Forscher zu einer tiefergehenden Untersuchung, bei der sie feststellten, dass die App nicht nur Kontosymbole über HTTP abrief, sondern auch standardmäßig Passwort-Reset-Seiten über das unverschlüsselte Protokoll öffnete. Dies setzte die Nutzer einem Risiko aus: Ein Angreifer mit privilegiertem Netzwerkzugang konnte die HTTP-Anfrage abfangen und den Nutzer auf eine Phishing-Website umleiten.

Mysk demonstrierte, wie ein solcher Phishing-Angriff durchgeführt werden könnte. Die Forscher zeigten sich überrascht, dass Apple für eine so sensible App nicht standardmäßig HTTPS durchsetzte. Zudem forderten sie, dass Apple eine Option für sicherheitsbewusste Nutzer bereitstellen sollte, um das Herunterladen von Symbolen vollständig zu deaktivieren. Sie äußerten Bedenken darüber, dass ihr Passwortmanager ständig jede Website, für die sie ein Passwort haben, kontaktiert, auch wenn die Anfragen keine Identifikationsdaten enthalten.

Die meisten modernen Websites erlauben heutzutage unverschlüsselte HTTP-Verbindungen, leiten diese jedoch automatisch über einen 301-Redirect auf HTTPS um. Es ist wichtig zu beachten, dass die Passwords-App vor iOS 18.2 zwar eine Anfrage über HTTP stellte, diese jedoch zur sicheren HTTPS-Version umgeleitet wurde. Unter normalen Umständen wäre dies völlig in Ordnung, da die Passwortänderungen auf einer verschlüsselten Seite stattfinden, was sicherstellt, dass Anmeldedaten nicht im Klartext gesendet werden.

Das Problem entsteht jedoch, wenn der Angreifer mit dem Nutzer im selben Netzwerk verbunden ist (z. B. in einem Café, am Flughafen oder im Hotel-WLAN) und die anfängliche HTTP-Anfrage abfängt, bevor sie umgeleitet wird. Von hier aus könnte der Angreifer den Datenverkehr auf verschiedene Weise manipulieren. Wie in Mysks Demo gezeigt, könnte dies die Umleitung auf eine Phishing-Seite umfassen, die der Microsoft-Live.com-Seite ähnelt. Der Angreifer kann dann leicht Anmeldedaten von den Opfern sammeln und sogar weitere Angriffe starten.

Obwohl das Problem im Dezember letzten Jahres stillschweigend behoben wurde, hat Apple es erst in den letzten 24 Stunden offengelegt. Die Passwords-App verwendet jetzt standardmäßig HTTPS für alle Verbindungen, daher sollten Nutzer sicherstellen, dass sie mindestens Version 18.2 auf ihren Geräten ausführen. Es ist nicht überraschend, wenn diese Nachricht weitgehend unbemerkt bleibt. Teilen Sie diese Information zur Sensibilisierung!

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.947 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen