Apple ID: Phishing-Angriffe auf Passwörter möglich

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Apple ID: Phishing-Angriffe auf Passwörter möglich
phising-teaser.jpg



iPhone und iPad-User kennen Das: In regelmäßigen Abständen erscheint ein Fenster, das zur Eingabe des iTunes-Kennwortes auffordert. Das iTunes-Kennwort entspricht dem der Apple ID. Durch die Häufigkeit dieser Abfrage sind viele User von iOS inzwischen darauf konditioniert, an dieser Stelle ohne weitere Zweifel ihr Kennwort einzugeben. Eine App könnte diesen Dialog für Phishing-Angriffe nachstellen.

Der Entwickler Felix Krause demonstriert in seinem Blog-Post, wie einfach es mit nur 30-Zeilen Programmcode möglich wäre, genau den Eingabedialog in einer App nachzustellen. Er geht sogar soweit, dass der Code dazu schon fast vollständig in der Dokumentation von Apple enthalten sei. Es handelt sich um eine normale Dialogbox.
Phishing-Angriffe per App


Auch das "Vorbeischleusen" am App-Store-Review-Team sei laut Krause kein Problem. Es gäbe mehrere Methoden, eine App so zu entwickeln, dass sie nach dem Review durch Apple Funktionen ausführen kann, die zum Zeitpunkt des Reviews nicht vorhanden waren.

[caption id="attachment_19166" align="aligncenter" width="281"]
phishing-281x500.jpg
Dieser Dialog erscheint regelmäßig und fordert zur Eingabe des Apple-ID-Passwortes auf. Er kann leicht nachgebaut werden.[/caption]

Selbst ein Account mit aktivierter Zwei-Faktor-Authentifizierung sei nicht 100% gegen Phishing geschützt, denn eine passend ausgestattete App könnte auch diesen simulieren.
Wie kann man an Angriff erkennen?


Krause schildert das Problem als eine Kombination aus Apples häufiger Abfrage des Passwortes und der daraus resultierenden Konditionierung der Anwender, dieses ohne Bedenken einzugeben. Es gibt allerdings eine Methode, wie man die Echtheit des Dialogs überprüfen kann. Sollte die Box legitim angezeigt werden, kann die App nicht durch drücken des Homebuttons beendet werden. Nur durch ein Tippen auf "Abbrechen" verschwindet der Dialog. Der Grund dafür: Es handelt sich um einen System-Dialog der in einem anderen Prozess abläuft, als die Apps.
Mehr Misstrauen ist hilfreich


Eine mit "Phishing-Funktionen" ausgestattete App würde auf jeden Fall beim Druck auf den Homebutton in den Hintergrund geschoben. Generell sollte man immer etwas vorsichtig und misstrauisch gegenüber allzu häufigen Passwortabfragen sein, mahnt Krause in seinem Artikel.
 

HaukeG5

Lambertine
Registriert
15.02.09
Beiträge
693
Generell sollte man immer etwas vorsichtig und misstrauisch gegenüber allzu häufigen Passwortabfragen sein, mahnt Krause in seinem Artikel.
Genau das ist das Problem. Wir wähnen uns in dem Apple-System in einer vermeintlich sicheren Umgebung und werden sorglos. Hand aufs Herz, wer von uns alten Hasen, erfahrenen User würde so eine Dialogbox in Frage stellen wenn man diesen Artikel nicht kennen würde?

Danke Michael und natürlich auch einen Dank an Felix Krause
 

markus n.

Damasonrenette
Registriert
24.10.04
Beiträge
492
Genau das ist das Problem. Wir wähnen uns in dem Apple-System in einer vermeintlich sicheren Umgebung und werden sorglos. Hand aufs Herz, wer von uns alten Hasen, erfahrenen User würde so eine Dialogbox in Frage stellen wenn man diesen Artikel nicht kennen würde?

Danke Michael und natürlich auch einen Dank an Felix Krause


"Hand auf's Herz" diese Abfrage, da keine offensichtlichen Rechtschreibfehler vorhanden und sie zur genüge vorkommt, auch ich.

Ja, Mehr Misstrauen ist hilfreich.

Danke für den Tipp
 

Coriolanus

Alkmene
Registriert
20.04.16
Beiträge
30
Ja Misstrauen hilft. Vielen Dank für die Information, denn als langjähriger Appleuser ist man doch sehr vertrsauensseelig.
 

MichaNbg

Goldrenette von Blenheim
Registriert
17.10.16
Beiträge
7.962
Diese unangekündigten "bitte gib dein Passwort ein" Popups ohne Angabe weshalb oder für wen überhaupt fand ich schon immer creepy. Wenn man wenigstens auf die Meldung hätte klicken können um dann zum anfragenden Dienst, der requesting application zu kommen, wäre es ja noch so halbwegs ok. Aber da kommt ja wirklich nur dieser overlay mit dem Passwortfeld und fertig.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Genau das ist das Problem. Wir wähnen uns in dem Apple-System in einer vermeintlich sicheren Umgebung und werden sorglos. Hand aufs Herz, wer von uns alten Hasen, erfahrenen User würde so eine Dialogbox in Frage stellen wenn man diesen Artikel nicht kennen würde?

Danke Michael und natürlich auch einen Dank an Felix Krause

Das größere Problem ist, dass die meisten Nutzer auch auf den weniger geschützen Systemen prinzipiell sorglos mit den Geräten umgehen. Da werden gecrackte Apps aus unbekannten Quellen installiert, ohne zu wissen, welche Hintertüren man sich auf diese Weise ins System baut. ;Das ist auch auf gejailbreakten iOS Geräten ein Thema. Wenn man ehrlich ist, waren Raubkopien der hauptsächliche Grund für den Jailbreak.

Ein gutes Stück Misstrauen gegenüber dem vermeintlich sicheren System iOS ist daher sicherlich nicht verkehrt. Und die "alten Hasen" sollten auch wissen, dass es keine absolut sicheren Systeme gibt.
 

HaukeG5

Lambertine
Registriert
15.02.09
Beiträge
693
Wenn man ehrlich ist, waren Raubkopien der hauptsächliche Grund für den Jailbreak.
War das wirklich so?

Ich hatte von 3G bis 4G meine Geräte einem Jailbreak unterzogen und damit aufgehört als das Kontrollzentrum mir die Möglichkeiten gab, die ich vorher vermisste und nur über den Jailbreak auf das Gerät bekam. So haben es eigentlich auch alle in meinem Bekanntenkreis gehalten. Dezentrale Sicherheitskopien von Apps waren bei mir und denen die ich so im Umfeld habe eigentlich nie ein Thema. Kann aber natürlich an dem etwas fortgeschrittenen Alter liegen.
 

Balkenende

Manks Küchenapfel
Registriert
12.06.09
Beiträge
11.228
Ja, das war so. Selbst einige im fortgeschrittenen Alter hatten sich so Apps geladen.
 

Synoxis

Sonnenwirtsapfel
Registriert
09.06.09
Beiträge
2.399
Also bei mir kommt die Meldung eigentlich zu 99% nur wenn ich im Store was kaufe oder runterlade, ganz selten mal bei anderen Dingen.

Aber selbst wenn es kommt, frage ich mich schon selbst ob das auch Sinn macht oder warum es überhaupt kommt.
 

muffy

Kleiner Weinapfel
Registriert
09.11.08
Beiträge
1.132
Mir war in der Vergangenheit schon immer etwas Unwohl, wenn der Dialog zur Passworteingabe erscheint. Der Tipp, bei Druck auf den Homebutton das Verhalten der Dialogbox zu prüfen, ist sehr hilfreich.

Apple sollte sich dem Problem annehmen und Apple-ID-Abfragen, welche vom System ausgehen, prinzipiell anders kennzeichnen als Abfragen, welche von Apps angezeigt werden.
 

frostdiver

Zwiebelapfel
Registriert
19.06.12
Beiträge
1.282
Apple sollte sich dem Problem annehmen und Apple-ID-Abfragen, welche vom System ausgehen, prinzipiell anders kennzeichnen als Abfragen, welche von Apps angezeigt werden
Das klappt so nicht. Die App kann sich ja an das Design anpassen. Du kannst es natürlich mit Informationen spicken, die die App nicht wissen kann. Aber das ist wohl nicht der richtige Weg.
Solche Passwort-Abfragen sollten halt generell nicht mehr in einem Popup auftauchen, sondern es sollte lediglich auf die Einstellungen verwiesen werden. So wie es auch schon (nur teilweise?) umgesetzt ist.
Es gibt ja mittlerweile ein Popup mit einer solchen Aufforderung, das Passwort in den Einstellungen einzugeben. Dieses beinhaltet nur die Buttons "OK" und "Einstellungen". Wenn man auf "Einstellungen" klickt, öffnen sich diese. Klickt man auf OK und ignoriert damit die Aufforderung, hat die Einstellungsapp einen roten Böbbel und man kann später das Passwort eingeben.
 
  • Like
Reaktionen: Michael Reimann

McPeSt

Alkmene
Registriert
25.10.14
Beiträge
35
Wenn die ID von einen anderen Anwender genutzt wird, kommt zumindest die Meldung auf das Handy ´´ Ihre Apple ID wird jetzt von einen weiteren Gerät genutzt´´. Meine Frage lautet, wenn ich diese Meldung mit ´´ nicht Erlauben ´´ bestätige, inwieweit ich damit Schäden abwenden kann?
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Seit Jahren bekannt. Immer noch nicht beseitigt. Scheint bei Apple niemanden zu jucken.
 

kelevra

Stahls Winterprinz
Registriert
12.07.10
Beiträge
5.165
Wie soll das gehen?

Man kann zwar den Apple Account nicht übernehmen, aber da viele die gleiche Email/Passwort Kombination im Internet nutzen, kann man die so gephisten Daten bei anderen Internetdiensten asuprobieren und ggf. ausnutzen. Amazon, Google, ebay etc.

Genau solche Probleme, aber auch potenzielle Lücken auf Serverseite sind Gründe warum es wichtig ist für jeden Dienst ein separates Passwort und wenn möglich 2FA zu nutzen.
 

Grimzahn

Golden Delicious
Registriert
15.09.17
Beiträge
10
Gratuliere. Ihr seit auf eine Fake News herein gefallen.
1.) Keine App hat Zugriff auf die Apple ID. Keine App kann also einen Fake-Requester bauen der die enthält. Der Deutsche, auf dessen Mist dieser Fake geht, hat natürlich eine echt wirkende Apple ID in der Demo.
2.) Selbst mit einem Passwort kommst Du nicht an der Zwei-Faktor_Authentifizierung vorbei.
3.) Sehen diese Dialoge unter iOS 11 nicht mehr so aus.
4.) Sollte ein DAU-Fall eintreten, der Punkt 1-3 aushebelt, hilft hier der Support. In diesem Fall gehört aber auch Doofheit bestraft.
 

Frapple

Mecklenburger Orangenapfel
Registriert
05.10.11
Beiträge
2.980
In der Apple Store App kann ich die App trotz Passworteingabe beenden