Feature [Update] App Store: iOS-Malware infiziert über 500 Millionen Geräte

[Paganethos]

Ich habe hier http://www.macmark.de/blog/osx_blog_2015-09-a.php ein paar Infos zu XcodeGhost bereitgestellt. Der Artikel wird noch weiter ergänzt, weil ich XcodeGhost gerade teste.

Oh mein Gott, die Entwickler sind ja noch dümmer als ich angenommen hatte. Das ist ja beinahe schon vorsätzlich. Können die eigentlich belangt werden?

 

[Ühm]

Also zurück zu Papier und Stift..

 

[Mac 2.2]

Also ich habe ja die Passwörter von Apple ID und iCloud geändert. Nun wollte er für App-Updates das Passwort der Apple ID haben (nachdem ich auf "Alle aktualisieren" gedrückt habe), soweit so gut.
Nach der erfolgreichen Eingabe, erscheint nach 2 Sekunden wieder das Fenster mit der Aufforderung mein Passwort einzugeben, habe auf Abbrechen gedrückt und die Updates werden trotzdem geladen (!) Irgendwie habe ich das Gefühl, dass noch mehr prominente Apps verseucht sind

 

[Ühm]

Nachdem ich meine PW geändert habe, werde ich überall aufgefordert(ICloud,Apple ID,Mail Account) meine PW neu einzugeben. Wenn ich das ignoriere, Popt das immer wieder auf...das nervt! Wenn ich das PW neu eingebe hat sich das erledigt. Ist das normal?

 

[Mac 2.2]

Eine einmalige Eingabe nach dem Ändern ist völlig normal der Rest nicht.

 

[echo.park]

http://www.heise.de/forum/Mac-i/New...-und-Richtigstellungen/posting-23739624/show/

Gerade gelesen. Ein Kommentar (nicht von mir) bezüglich dieses Artikels. Ganz interessant.

 

[Mitglied 128076]

Jetzt muss nur noch die Überschrift mit [Update] beginnen.
Besteht die Möglichkeit den Inhalt des Links kurz in deutsch wiederzugeben? Es gibt doch den ein oder anderen hier, der das nicht versteht was Apple dazu meint.

Naja, der Artikel gibt im wesentlichen...

Ach, ich schreibe das in den Artikel als [Update] rein

 

[muffy]

Mittlerweile scheint es die ersten Updates für Apps zu geben, welche mit dem Schadcode von XcodeGhost infiziert sind.

Aus der App CamScanner wurde der Schadcode durch ein Update entfernt. Sowohl CamScanner+ als auch CamScanner Free sind nun mit dem offiziellen Xcode von Apple kompiliert.

Da ich den Entwicklern von CamScanner keine böse Absicht unterstelle, gebe ich der App wohl noch einmal eine Chance. Vergleichbare Apps wie Microsoft Office Lense kommen eben leider doch nicht ganz an den Funktionsumfang heran.

Ärgerlich bleibt aber eben, dass die Updates nichts an der sehr wahrscheinlichen Tatsache ändern, dass meine Nutzerdaten durch die Phishing-Attacke erfolgreich entwendet werden konnten. Zum Glück ist ein Zugriff auf das Apple-Konto durch die zweistufige Bestätigung unmöglich.
Zuweilen konnte die zweistufige Bestätigung mich ja schon mal etwas nerven, doch nun bin ich einfach nur froh, dass es diese Form des Schutzes gibt. Somit kann man eigentlich relativ entspannt sein. Außer der Apple ID, dem Passwort und ein paar belanglosen Infos sollte theoretisch nichts weiter entwendet worden sein.

 

[bicycle race]

Gibt es die Möglichkeit, unterschiedliche Passwörter für iCloud, Mail-Account und Apple-ID ZU vergeben?
Bis jetzt verwende ich für alles das Passwort der Apple-ID.

 

[TomH]

Zum Glück ist ein Zugriff auf das Apple-Konto durch die zweistufige Bestätigung unmöglich.

Ich ärgere mich zwar immer wieder wenn ich den Code eingeben muss, aber jetzt hat sich das ganze endlich mal bewährt. Schade nur, dass es viele Seiten (wie z.B. PayPal) immer noch nicht anbieten.

 

[SilverPaddel]

hm... aber es ist immenroch nicht bekannt ob die Apple-ID geändert werden soll auch wenn keine von den bekannten Apps installiert sind oder?

 

[SilverPaddel]

puhhh...

"Der analysierte Schadcode sei auch nicht in der Lage, Anmeldedaten für iCloud oder andere Dienste abzufragen."

Link

 

[Mitglied 128076]

Gibt es die Möglichkeit, unterschiedliche Passwörter für iCloud, Mail-Account und Apple-ID ZU vergeben?
Bis jetzt verwende ich für alles das Passwort der Apple-ID.

Ich denke nicht, da die Apple-Dienste alle mit Deiner ID Verknüpft sind und keine "eigenständigen" Accounts bilden.

 

[MacMark]

… Ärgerlich bleibt aber eben, dass die Updates nichts an der sehr wahrscheinlichen Tatsache ändern, dass meine Nutzerdaten durch die Phishing-Attacke erfolgreich entwendet werden konnten. …

Wenn er Quellcode echt ist, der unter XcodeGhost auf GitHub veröffentlicht wurde, dann bestand keine Möglichkeit für Dialoge mit Eingabefeldern. Apple sieht das auch so. Habe meinen Artikel gestern ergänzt dazu: http://www.macmark.de/blog/osx_blog_2015-09-a.php

Gestellt den Fall, jemand habe doch Deine Apple ID / iCloud-Zugang abgegriffen, dann würdest Du eine Email bekommen, die sagt, daß jetzt auch auf Gerät xy Dein Account benutzt wird.

 

[auchda08]

Ich habe mein Passwort von der Apple ID geändert und wurde danach nur von der Cloud aufgefordert das Passwort einzugeben. Danach nicht wieder.

 

[MacMark]

Ich habe mein Passwort von der Apple ID geändert und wurde danach nur von der Cloud aufgefordert das Passwort einzugeben. Danach nicht wieder.

Und da Du ja die zweistufige Bestätigung aktiviert hast, wie Du oben schreibst, kann auch im Falle von Paßwort-Verlust, niemand Dein Konto benutzen. Es sei denn Du bestätigst das neue fremde Gerät.

"Die zweistufige Bestätigung ist eine zusätzliche Sicherheitsfunktion für Ihre Apple-ID. Sie dient dazu, andere daran zu hindern, auf Ihren Account zuzugreifen oder diesen zu verwenden, selbst wenn sie Ihr Passwort kennen sollten."
https://support.apple.com/de-de/HT204152

 

[bicycle race]

Ich denke nicht, da die Apple-Dienste alle mit Deiner ID Verknüpft sind und keine "eigenständigen" Accounts bilden.

Danke für die Antwort. Ich war nur irritiert, weil es sich in einigen Kommentaren so angehört hat.