Digital

Alle iPhone-User tun es, doch die wenigsten sind sich bewusst, welche Folgen die Eingabe des Passworts für die Apple-ID haben kann. bild: krausefx

So können kriminelle Hacker deine Apple-ID klauen – und so schützt du dich

Der österreichische iOS-Experte Felix Krause hat einen Weg gefunden, iPhone-Nutzern ihre Apple-Passwörter abzuluchsen. Wir erklären, wie sich solche Angriffe abwehren lassen.

11.10.17, 17:22 11.10.17, 22:13

Matthias kremp / spiegel online

Ein Artikel von

Jeder Apple-Nutzer kennt das: Immer, wenn man ein neues Apple-Gadget eingerichtet hat, manchmal aber auch vollkommen unerwartet, ploppt eine Dialogbox, wie die in dem Bild oben gezeigten, auf dem Bildschirm auf. Die Abfrage verlangt, man möge doch bitte das Passwort zu seiner Apple-ID eingeben. Beim Zugriff auf iCloud, GameCenter, In-App-Käufen etc.

Oft ist das nervig, aber die Abfragen sollen helfen, die Sicherheit zu verbessern. Jetzt hat allerdings der iOS-Entwickler Felix Krause einen Weg gefunden, diese Dialogboxen zu fälschen.

Finde den Unterschied: Legitime Passwortabfrage oder Phishing-Angriff?

Eine dieser beiden Passwort-Abfragen kommt von Apple, die andere stiehlt dein Apple-ID-Passwort.

In seinem Blog schreibt Krause, es sei «erschütternd einfach» gewesen, Apples Passwortabfrage in einer eigenen App nachzubauen. Wie das im Einzelnen geht, habe er aber «aus moralischen Gründen» nicht öffentlich machen wollen.

Vielmehr wolle er darauf aufmerksam machen, dass zumindest theoretisch die Möglichkeit besteht, sich mit solchen gefälschten Passwortabfragen Zugang zu den Accounts von Apple-Nutzern zu verschaffen. Die seien wegen der häufigen Abfragen nämlich daran gewöhnt, ihr Passwort einfach einzutippen, sobald eine entsprechende Anfrage auf dem Bildschirm erscheint.

«Do you want the user's Apple ID password, to get access to their Apple account, or to try the same email/password combination on different web services? Just ask your users politely, they'll probably just hand over their credentials, as they're trained to do so 👌»

iOS-Entwickler Felix Krause

Noch ist das nur Theorie, aber ...

Krause räumt ein, dass es Kriminellen wohl nicht ganz leicht fallen dürfte, seine Methode in die Realität umzusetzen. «Apple macht einen hervorragenden Job dabei, Anwender vor gefährlichen Apps zu schützen», schreibt er in seinem Blogeintrag. Alle Apps würden von Apple kontrolliert, bevor sie im App Store landen. Laut Krause gibt es allerdings auch Möglichkeiten, Teile einer App zeitgesteuert erst später oder ferngesteuert zu aktivieren und so an Apples Kontrollen vorbei zu schleusen.

Noch ist all das reine Theorie. Für ihn sei das ein Hobby-Projekt gewesen, an dem er in seiner Freizeit gearbeitet habe, sagte Krause gegenüber Spiegel Online. Hinweise, dass die von ihm skizzierte Methode schon von kriminellen Hackern benutzt wird, gibt es nicht.

So kannst du prüfen, ob die Passwort-Abfrage echt ist

Seine Erkenntnisse hat Krause am 9. Oktober an Apple gemeldet. Eine Reaktion des Konzerns steht noch aus. Der App-Entwickler schlägt vor, die Art wie Apples iOS Passwortabfragen handhabt zu ändern. Etwa derart, dass Apps nicht mehr selbst nach dem Apple-ID-Passwort fragen dürfen, sondern den Nutzer zur Eingabe des Passworts immer in die Systemeinstellungen umleiten müssen.

Es gibt allerdings eine simple Methode, um zu überprüfen, ob eine solche Passwortabfrage legitim ist: Man muss im Zweifel einfach die Home-Taste drücken. Krause erklärt: «Wenn die App und die Dialogbox dann verschwinden, handelte es sich um einen Phishing-Angriff.» Kommt die Passwortabfrage hingegen vom Betriebssystem selbst, lässt sich die Dialogbox nicht über die Home-Taste schliessen.

Noch sicherer ist man allerdings, wenn man seine Apple-ID über eine zweistufige Authentifizierung absichert. Denn dann ist es mit der Eingabe des Passworts nicht getan und man muss zusätzlich einen Zahlencode eingeben, der von Apple an ein als vertrauenswürdig eingestuftes Gerät gesendet wird.

Wie man die Zwei-Faktor-Authentifizierung für die Apple-ID einrichtet, erklärt Apple hier.

So schaltest du die versteckte Karte auf deinem iPhone aus

1m 0s

So schaltest du die versteckte Karte auf deinem iPhone aus

Video: watson/Lya Saxer

Das bringt iOS 11

Hol dir die App!

Yanik Freudiger, 23.2.2017
Die App ist vom Auftreten und vom Inhalt her die innovativste auf dem Markt. Sehr erfrischend und absolut top.
Abonniere unseren NewsletterNewsletter-Abo
10
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
10Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • ichbindochnichtblond 12.10.2017 21:47
    Highlight Um es mit den Worten von Einstein zu sagen: Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher ... Das bedeutet, dass ein verifizierter Entwickler, welcher Apple bestens bekannt ist, sich als krimineller Hacker betätigt ... ist so ähnlich wie, wenn ein Einbrecher den Polizisten zum geplanten Einbruch gleich mitnimmt, damit er ihn verhaftet kann ... ich gehe davon aus, dass Herr Felix Krause so einige Diskussionen mit Apple bevorstehen :-)
    1 5 Melden
  • DerRabe 11.10.2017 21:37
    Highlight Er möchte nicht im Detail erklären, wie die Passwortabfrage nachgebaut wird? Also bitte, jeder der ne IOS-App und sei diese noch so simpel, programmieren (zusammenklicken) kann, kann auch diese Abfrage nachbauen...
    21 8 Melden
  • seventhinkingsteps 11.10.2017 20:34
    Highlight Oder einen Passwortmanager benutzen, der sollte den Ursprung der Passwortabfrage erkennen. Und ausserdem auf keinen 2 Seiten dasselbe Passwort verwenden.
    2 19 Melden
  • E. Edward Grey 11.10.2017 18:28
    Highlight Ein weiterer Ansatz ist bei Zweifel zuerst bewusst ein falsches Passwort einzugeben. Wird das akzeptiert, so handelt es sich um Phishing.
    74 1 Melden
    • axantas 11.10.2017 20:04
      Highlight Der ist aber wirklich echt gut!
      Kompliment :-)


      Einfach nicht vergessen, dass bei etwa dreimal falsch vorerst Schluss ist.
      25 0 Melden
    • Fulehung1950 11.10.2017 22:28
      Highlight Sackstark! Merk ich mir!😂👍🏾👏🏻👏🏻👏🏻
      8 0 Melden
  • E. Edward Grey 11.10.2017 18:25
    Highlight Touch-ID kennt ihr?
    20 8 Melden
    • seventhinkingsteps 11.10.2017 20:33
      Highlight Die sind offenbar recht leicht zu überlisten
      7 19 Melden
    • Zwingli 12.10.2017 16:42
      Highlight yep sind immernoch recht easy zu überlisten
      2 5 Melden
  • derEchteElch 11.10.2017 17:43
    Highlight Danke für den Sicherheitstipp.
    Aus solchen Gründen installiere ich nur Apps die ich wirklich brauche und aus dem offiziellen App Store sind (Meine Apps verteilen sich auf 2 Seiten, je zur Hälfte).

    PS: Meiner Meinung nach ist das Bild links gefälscht, kleinere Schrift, grauer Balken oben.. Ohh.. siehe da.. ausnahmsweise bin ich falsch gelegen.. 😅
    8 41 Melden

HIPSTERLITHEATER

Berner Tastatur

Wie ich mir als Zürcher die Berner Tastatur vorstelle.

Artikel lesen