Digital

Der Home-Button funktioniert nur bei gefälschten Passwort-Abfragen. Bild: REUTERS

Sicherheitslücke beim iPhone: Lässt sich dein iCloud-Passwort wirklich so leicht abgreifen?

Schon im Januar hat ein Sicherheitsexperte einen Softwarefehler an Apple gemeldet. Da der Konzern darauf nicht reagiert hat, erklärt der Entwickler nun, wie Angreifer an iCloud-Passwörter bei iPhone- und iPad-Nutzern gelangen können.

11.06.15, 13:03 12.06.15, 06:02

Ein Artikel von

Kaum hat der Nutzer die Mail-App auf dem iPhone geöffnet, erscheint ein Popup-Fenster und verlangt das iCloud-Passwort. Die richtige E-Mail-Adresse ist bereits im Feld für den Nutzernamen eingetragen. Der Anwender gibt sein Codewort ein. Einige Sekunden später landet eine Nachricht im Posteingang. Darin steht: «Danke für dein Passwort (Password123), du Idiot!»

Die Bilder stammen aus einem YouTube-Video, mit dem der Sicherheitsexperte Jan Soucek veranschaulicht, wie einfach man dank einer Sicherheitslücke im Apple-Betriebssystem iOS an das iCloud-Passwort gelangen kann. Bereits im Januar habe er den Fehler an den Konzern aus Cupertino gemeldet, bis heute ist die Schwachstelle offenbar mit keinem Update für das iPhone oder iPad behoben worden. Auch in der aktuellen Version 8.3 bestehe das Problem noch immer. «Daher habe ich entschieden, den Code für den Machbarkeitsnachweis hier zu veröffentlichen», schreibt Soucek in einem Blogbeitrag.

Die Sicherheitslücke besteht schon seit Anfang Jahr. Bild: Getty

In dem Artikel erklärt Soucek, wie kriminelle Hacker eine E-Mail erstellen können, die einen beliebigen Nutzer dazu auffordert, das iCloud-Passwort einzugeben. «Dieser Fehler ermöglicht es, dass HTML-Inhalte geladen werden und den Inhalt der ursprünglichen E-Mail-Nachricht ersetzen», schreibt Soucek. Dieser HTML-Code wird ohne Warnhinweis aufgerufen und zeigt den Inhalt eines externen Servers an. In diesem Fall wird ein Fenster geöffnet, das den Nutzer dazu auffordert, sich bei iCloud anzumelden.

Kaum als Angriff zu erkennen

Das Schadsoftware-Fenster sieht genauso aus wie die richtige Apple-Abfrage und ist kaum als Angriff zu erkennen – auch deshalb, weil auch die richtige iCloud-Anmeldemaske immer wieder zu unerwarteten Zeitpunkten auftaucht. Der Entwickler setzt sogar die Autofokus-Funktion der mobilen Plattform ein, die dafür sorgt, dass das Fenster automatisch geschlossen wird, sobald der Nutzer die Eingabe mit «Ok» bestätigt. Damit der Betrug nicht auffällt, speichert die Software, ob der Nutzer sein Passwort bereits verschickt hat. In diesem Fall wird das Dialogfeld nicht mehr geöffnet.

Apple hat auf eine Anfrage von Spiegel Online am Donnerstagmorgen nicht reagiert. Bis der Fehler behoben ist, begegnet man einer gefälschten Passwort-Abfrage am besten, indem man auf den «Abbrechen»-Button drückt. Ob es sich um eine falsche Abfrage handelt, lässt sich laut «Ars Technica» daran erkennen, dass man mit dem Home-Button zurück zum Hauptbildschirm gelangt, während das Fenster geöffnet ist. Bei einer Apple-Abfrage ist diese Funktion gesperrt. (jbr)

Das könnte dich auch interessieren

Die grosse Apple-Sause WWDC 2015: Alles Wichtige auf einen Blick

Hol dir die App!

Charly Otherman, 5.5.2017
Watson kann nicht nur lustig! Auch für Deutsche (wie mich) ein Muss, obwohl ich das schweizerische nicht immer verstehe.
Abonniere unseren NewsletterNewsletter-Abo
8
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
8Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Midnight 12.06.2015 09:20
    Highlight Auch bei solchen Attacken lässt sich der unerlaubte Zugriff auf iCloud/AppleID mit dem zweistufigen Loginverfahren sehr effizient blockieren.
    1 0 Melden
    • aye 12.06.2015 11:11
      Highlight Deshalb sollte man die Zwei-Faktor-Authentifizierung auch aktivieren. Aber dennoch: Der Sicherheitsgewinn der zweiten Stufe will man ja nicht einfach so wegfallen lassen. Hat sich ein Hacker erst mal das Passwort beschafft, muss er "nur" noch das SMS mit dem Pin abfangen um Zugriff auf den Account zu erhalten.
      Für private Konten vielleicht schwer vorstellbar, gerade da noch immer viele Nutzer diese Sicherheitsfunktionen nicht verwenden und man sich sicher erst auf die einfachen Ziele konzentriert. Aber beispielsweise bei Unternehmensspionage werden schon mal grössere Geschütze aufgefahren.
      3 0 Melden
  • mal! 12.06.2015 05:41
    Highlight klar. aber weil sie als system-popup getarnt ist, ist sie kaum als phising mail zu erkennen.
    1 0 Melden
  • Migu Schweiz 11.06.2015 19:07
    Highlight Das ist eine fishing email, klappt mit allen emailclients sofern html anzeige im email erlaubt ist. Das klappt auch auf Android und Windows. Da kann Apple nicht viel dagegen unternehmen.
    12 12 Melden
    • just sayin' 11.06.2015 21:20
      Highlight geeeenau.
      aber apple anzuprangern ist viel cooler
      8 13 Melden
    • aye 11.06.2015 23:51
      Highlight Stimmt leider nicht ganz... Ja, eine gefälschte Passwortabfrage mag möglich sein - das Problem bei iOS ist aber, dass diese genauso aussieht wie die echte - welche zudem so oft aufploppt, dass man sich schon daran gewöhnt hat noch kurz das Passwort einzutippen.
      Ausserdem sind Gegenmassnahmen durchaus möglich. So blocken sehr viele Mailprogramme standardmässig erst mal externe Inhalte und Skripte. Bei Apple hingegen wird alles ohne Nachfrage sofort heruntergeladen und ausgeführt.
      10 0 Melden
    • Donald 12.06.2015 01:49
      Highlight Nein. Nicht einfach eine Phishing Mail!
      7 1 Melden
  • one0one 11.06.2015 15:10
    Highlight cloud hier, cloud da... und der user auf wolke 7... bis die nacktfotos gecloud werden... ^^
    12 5 Melden

Wer auch immer dieses geniale Angebot bei Ebay eingestellt hat – wir lieben ihn dafür ❤️😂

Das iPhone X scheint kreativ zu machen ...

Ein Blick auf Ebay offenbart das übliche Spielchen, wenn ein neues, heiss begehrtes Gadget erscheint. Habgierige Zeitgenossen decken sich mit Apples neustem Handy ein und versuchen das Gadget zu überteuerten Preisen zu verhökern.

Bei diesem ganz speziellen Angebot hat uns aber nicht das Preisschild von 2500 Euro stutzig gemacht, sondern die Produktbeschreibung.

Die Produktbeschreibung erklärt ausführlich, warum genau DIESES iPhone X 2500 Euro wert sei: «So wurde es exklusiv für den Käufer …

Artikel lesen