1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Apple ID: Phishing-Angriffe auf Passwörter möglich

Dieses Thema im Forum "Magazin" wurde erstellt von Michael Reimann, 11.10.17.

  1. Michael Reimann

    Michael Reimann Chefredakteur
    AT Administration

    Dabei seit:
    18.03.09
    Beiträge:
    4.201
    Apple ID: Phishing-Angriffe auf Passwörter möglich
    [​IMG]


    iPhone und iPad-User kennen Das: In regelmäßigen Abständen erscheint ein Fenster, das zur Eingabe des iTunes-Kennwortes auffordert. Das iTunes-Kennwort entspricht dem der Apple ID. Durch die Häufigkeit dieser Abfrage sind viele User von iOS inzwischen darauf konditioniert, an dieser Stelle ohne weitere Zweifel ihr Kennwort einzugeben. Eine App könnte diesen Dialog für Phishing-Angriffe nachstellen.

    Der Entwickler Felix Krause demonstriert in seinem Blog-Post, wie einfach es mit nur 30-Zeilen Programmcode möglich wäre, genau den Eingabedialog in einer App nachzustellen. Er geht sogar soweit, dass der Code dazu schon fast vollständig in der Dokumentation von Apple enthalten sei. Es handelt sich um eine normale Dialogbox.
    Phishing-Angriffe per App


    Auch das "Vorbeischleusen" am App-Store-Review-Team sei laut Krause kein Problem. Es gäbe mehrere Methoden, eine App so zu entwickeln, dass sie nach dem Review durch Apple Funktionen ausführen kann, die zum Zeitpunkt des Reviews nicht vorhanden waren.

    [caption id="attachment_19166" align="aligncenter" width="281"][​IMG] Dieser Dialog erscheint regelmäßig und fordert zur Eingabe des Apple-ID-Passwortes auf. Er kann leicht nachgebaut werden.[/caption]

    Selbst ein Account mit aktivierter Zwei-Faktor-Authentifizierung sei nicht 100% gegen Phishing geschützt, denn eine passend ausgestattete App könnte auch diesen simulieren.
    Wie kann man an Angriff erkennen?


    Krause schildert das Problem als eine Kombination aus Apples häufiger Abfrage des Passwortes und der daraus resultierenden Konditionierung der Anwender, dieses ohne Bedenken einzugeben. Es gibt allerdings eine Methode, wie man die Echtheit des Dialogs überprüfen kann. Sollte die Box legitim angezeigt werden, kann die App nicht durch drücken des Homebuttons beendet werden. Nur durch ein Tippen auf "Abbrechen" verschwindet der Dialog. Der Grund dafür: Es handelt sich um einen System-Dialog der in einem anderen Prozess abläuft, als die Apps.
    Mehr Misstrauen ist hilfreich


    Eine mit "Phishing-Funktionen" ausgestattete App würde auf jeden Fall beim Druck auf den Homebutton in den Hintergrund geschoben. Generell sollte man immer etwas vorsichtig und misstrauisch gegenüber allzu häufigen Passwortabfragen sein, mahnt Krause in seinem Artikel.
     
    Sauron, Frapple, floriano und 12 anderen gefällt das.
  2. u0679

    u0679 Moderator Apple-Services + Software
    AT Moderation

    Dabei seit:
    09.11.12
    Beiträge:
    4.127
    Danke für den Hinweis.
     
    Frapple, floriano, MisteriDevice und 2 anderen gefällt das.
  3. HaukeG5

    HaukeG5 Doppelter Prinzenapfel

    Dabei seit:
    15.02.09
    Beiträge:
    443
    Genau das ist das Problem. Wir wähnen uns in dem Apple-System in einer vermeintlich sicheren Umgebung und werden sorglos. Hand aufs Herz, wer von uns alten Hasen, erfahrenen User würde so eine Dialogbox in Frage stellen wenn man diesen Artikel nicht kennen würde?

    Danke Michael und natürlich auch einen Dank an Felix Krause
     
    Frapple, FlyingDucman, floriano und 3 anderen gefällt das.
  4. markus n.

    markus n. Kaiser Wilhelm

    Dabei seit:
    24.10.04
    Beiträge:
    174

    "Hand auf's Herz" diese Abfrage, da keine offensichtlichen Rechtschreibfehler vorhanden und sie zur genüge vorkommt, auch ich.

    Ja, Mehr Misstrauen ist hilfreich.

    Danke für den Tipp
     
    HaukeG5 und Michael Reimann gefällt das.
  5. Coriolanus

    Coriolanus Jonagold

    Dabei seit:
    20.04.16
    Beiträge:
    18
    Ja Misstrauen hilft. Vielen Dank für die Information, denn als langjähriger Appleuser ist man doch sehr vertrsauensseelig.
     
  6. MichaNbg

    MichaNbg Weißer Winterglockenapfel

    Dabei seit:
    17.10.16
    Beiträge:
    878
    Diese unangekündigten "bitte gib dein Passwort ein" Popups ohne Angabe weshalb oder für wen überhaupt fand ich schon immer creepy. Wenn man wenigstens auf die Meldung hätte klicken können um dann zum anfragenden Dienst, der requesting application zu kommen, wäre es ja noch so halbwegs ok. Aber da kommt ja wirklich nur dieser overlay mit dem Passwortfeld und fertig.
     
  7. kelevra

    kelevra Schmalzprinz

    Dabei seit:
    12.07.10
    Beiträge:
    3.567
    Das größere Problem ist, dass die meisten Nutzer auch auf den weniger geschützen Systemen prinzipiell sorglos mit den Geräten umgehen. Da werden gecrackte Apps aus unbekannten Quellen installiert, ohne zu wissen, welche Hintertüren man sich auf diese Weise ins System baut. ;Das ist auch auf gejailbreakten iOS Geräten ein Thema. Wenn man ehrlich ist, waren Raubkopien der hauptsächliche Grund für den Jailbreak.

    Ein gutes Stück Misstrauen gegenüber dem vermeintlich sicheren System iOS ist daher sicherlich nicht verkehrt. Und die "alten Hasen" sollten auch wissen, dass es keine absolut sicheren Systeme gibt.
     
  8. HaukeG5

    HaukeG5 Doppelter Prinzenapfel

    Dabei seit:
    15.02.09
    Beiträge:
    443
    War das wirklich so?

    Ich hatte von 3G bis 4G meine Geräte einem Jailbreak unterzogen und damit aufgehört als das Kontrollzentrum mir die Möglichkeiten gab, die ich vorher vermisste und nur über den Jailbreak auf das Gerät bekam. So haben es eigentlich auch alle in meinem Bekanntenkreis gehalten. Dezentrale Sicherheitskopien von Apps waren bei mir und denen die ich so im Umfeld habe eigentlich nie ein Thema. Kann aber natürlich an dem etwas fortgeschrittenen Alter liegen.
     
  9. Balkenende

    Balkenende Grünapfel

    Dabei seit:
    12.06.09
    Beiträge:
    7.091
    Ja, das war so. Selbst einige im fortgeschrittenen Alter hatten sich so Apps geladen.
     
  10. Synoxis

    Synoxis Hibernal

    Dabei seit:
    09.06.09
    Beiträge:
    1.998
    Also bei mir kommt die Meldung eigentlich zu 99% nur wenn ich im Store was kaufe oder runterlade, ganz selten mal bei anderen Dingen.

    Aber selbst wenn es kommt, frage ich mich schon selbst ob das auch Sinn macht oder warum es überhaupt kommt.
     
  11. muffy

    muffy Reinette Coulon

    Dabei seit:
    09.11.08
    Beiträge:
    939
    Mir war in der Vergangenheit schon immer etwas Unwohl, wenn der Dialog zur Passworteingabe erscheint. Der Tipp, bei Druck auf den Homebutton das Verhalten der Dialogbox zu prüfen, ist sehr hilfreich.

    Apple sollte sich dem Problem annehmen und Apple-ID-Abfragen, welche vom System ausgehen, prinzipiell anders kennzeichnen als Abfragen, welche von Apps angezeigt werden.
     
  12. frostdiver

    frostdiver Châtaigne du Léman

    Dabei seit:
    19.06.12
    Beiträge:
    831
    Das klappt so nicht. Die App kann sich ja an das Design anpassen. Du kannst es natürlich mit Informationen spicken, die die App nicht wissen kann. Aber das ist wohl nicht der richtige Weg.
    Solche Passwort-Abfragen sollten halt generell nicht mehr in einem Popup auftauchen, sondern es sollte lediglich auf die Einstellungen verwiesen werden. So wie es auch schon (nur teilweise?) umgesetzt ist.
    Es gibt ja mittlerweile ein Popup mit einer solchen Aufforderung, das Passwort in den Einstellungen einzugeben. Dieses beinhaltet nur die Buttons "OK" und "Einstellungen". Wenn man auf "Einstellungen" klickt, öffnen sich diese. Klickt man auf OK und ignoriert damit die Aufforderung, hat die Einstellungsapp einen roten Böbbel und man kann später das Passwort eingeben.
     
    Michael Reimann gefällt das.
  13. McPeSt

    McPeSt Alkmene

    Dabei seit:
    25.10.14
    Beiträge:
    32
    Wenn die ID von einen anderen Anwender genutzt wird, kommt zumindest die Meldung auf das Handy ´´ Ihre Apple ID wird jetzt von einen weiteren Gerät genutzt´´. Meine Frage lautet, wenn ich diese Meldung mit ´´ nicht Erlauben ´´ bestätige, inwieweit ich damit Schäden abwenden kann?
     
  14. echo.park

    echo.park Roter Astrachan

    Dabei seit:
    08.06.11
    Beiträge:
    6.278
    Seit Jahren bekannt. Immer noch nicht beseitigt. Scheint bei Apple niemanden zu jucken.
     
  15. goldeagle

    goldeagle Fießers Erstling

    Dabei seit:
    30.03.08
    Beiträge:
    130
    Wie soll das gehen?
     
    Michael Reimann gefällt das.
  16. Michael Reimann

    Michael Reimann Chefredakteur
    AT Administration

    Dabei seit:
    18.03.09
    Beiträge:
    4.201
    Steht im Blogpost von Felix!
     
  17. kelevra

    kelevra Schmalzprinz

    Dabei seit:
    12.07.10
    Beiträge:
    3.567
    Man kann zwar den Apple Account nicht übernehmen, aber da viele die gleiche Email/Passwort Kombination im Internet nutzen, kann man die so gephisten Daten bei anderen Internetdiensten asuprobieren und ggf. ausnutzen. Amazon, Google, ebay etc.

    Genau solche Probleme, aber auch potenzielle Lücken auf Serverseite sind Gründe warum es wichtig ist für jeden Dienst ein separates Passwort und wenn möglich 2FA zu nutzen.
     
  18. Zwuckel

    Zwuckel Wohlschmecker aus Vierlanden

    Dabei seit:
    04.11.10
    Beiträge:
    234
    Warum? Ist doch ne super Lösung
     
  19. Grimzahn

    Grimzahn Golden Delicious

    Dabei seit:
    15.09.17
    Beiträge:
    7
    Gratuliere. Ihr seit auf eine Fake News herein gefallen.
    1.) Keine App hat Zugriff auf die Apple ID. Keine App kann also einen Fake-Requester bauen der die enthält. Der Deutsche, auf dessen Mist dieser Fake geht, hat natürlich eine echt wirkende Apple ID in der Demo.
    2.) Selbst mit einem Passwort kommst Du nicht an der Zwei-Faktor_Authentifizierung vorbei.
    3.) Sehen diese Dialoge unter iOS 11 nicht mehr so aus.
    4.) Sollte ein DAU-Fall eintreten, der Punkt 1-3 aushebelt, hilft hier der Support. In diesem Fall gehört aber auch Doofheit bestraft.
     
  20. Frapple

    Frapple Langelandapfel

    Dabei seit:
    05.10.11
    Beiträge:
    2.701
    In der Apple Store App kann ich die App trotz Passworteingabe beenden
     

Diese Seite empfehlen