Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Alle iPhone-User tun es, doch die wenigsten sind sich bewusst, welche Folgen die Eingabe des Passworts für die Apple-ID haben kann. bild: krausefx

So können kriminelle Hacker deine Apple-ID klauen – und so schützt du dich

Der österreichische iOS-Experte Felix Krause hat einen Weg gefunden, iPhone-Nutzern ihre Apple-Passwörter abzuluchsen. Wir erklären, wie sich solche Angriffe abwehren lassen.

Matthias kremp / spiegel online



Ein Artikel von

Spiegel Online

Jeder Apple-Nutzer kennt das: Immer, wenn man ein neues Apple-Gadget eingerichtet hat, manchmal aber auch vollkommen unerwartet, ploppt eine Dialogbox, wie die in dem Bild oben gezeigten, auf dem Bildschirm auf. Die Abfrage verlangt, man möge doch bitte das Passwort zu seiner Apple-ID eingeben. Beim Zugriff auf iCloud, GameCenter, In-App-Käufen etc.

Oft ist das nervig, aber die Abfragen sollen helfen, die Sicherheit zu verbessern. Jetzt hat allerdings der iOS-Entwickler Felix Krause einen Weg gefunden, diese Dialogboxen zu fälschen.

Finde den Unterschied: Legitime Passwortabfrage oder Phishing-Angriff?

Eine dieser beiden Passwort-Abfragen kommt von Apple, die andere stiehlt dein Apple-ID-Passwort.

In seinem Blog schreibt Krause, es sei «erschütternd einfach» gewesen, Apples Passwortabfrage in einer eigenen App nachzubauen. Wie das im Einzelnen geht, habe er aber «aus moralischen Gründen» nicht öffentlich machen wollen.

Vielmehr wolle er darauf aufmerksam machen, dass zumindest theoretisch die Möglichkeit besteht, sich mit solchen gefälschten Passwortabfragen Zugang zu den Accounts von Apple-Nutzern zu verschaffen. Die seien wegen der häufigen Abfragen nämlich daran gewöhnt, ihr Passwort einfach einzutippen, sobald eine entsprechende Anfrage auf dem Bildschirm erscheint.

«Do you want the user's Apple ID password, to get access to their Apple account, or to try the same email/password combination on different web services? Just ask your users politely, they'll probably just hand over their credentials, as they're trained to do so 👌»

iOS-Entwickler Felix Krause

Noch ist das nur Theorie, aber ...

Krause räumt ein, dass es Kriminellen wohl nicht ganz leicht fallen dürfte, seine Methode in die Realität umzusetzen. «Apple macht einen hervorragenden Job dabei, Anwender vor gefährlichen Apps zu schützen», schreibt er in seinem Blogeintrag. Alle Apps würden von Apple kontrolliert, bevor sie im App Store landen. Laut Krause gibt es allerdings auch Möglichkeiten, Teile einer App zeitgesteuert erst später oder ferngesteuert zu aktivieren und so an Apples Kontrollen vorbei zu schleusen.

Noch ist all das reine Theorie. Für ihn sei das ein Hobby-Projekt gewesen, an dem er in seiner Freizeit gearbeitet habe, sagte Krause gegenüber Spiegel Online. Hinweise, dass die von ihm skizzierte Methode schon von kriminellen Hackern benutzt wird, gibt es nicht.

So kannst du prüfen, ob die Passwort-Abfrage echt ist

Seine Erkenntnisse hat Krause am 9. Oktober an Apple gemeldet. Eine Reaktion des Konzerns steht noch aus. Der App-Entwickler schlägt vor, die Art wie Apples iOS Passwortabfragen handhabt zu ändern. Etwa derart, dass Apps nicht mehr selbst nach dem Apple-ID-Passwort fragen dürfen, sondern den Nutzer zur Eingabe des Passworts immer in die Systemeinstellungen umleiten müssen.

Es gibt allerdings eine simple Methode, um zu überprüfen, ob eine solche Passwortabfrage legitim ist: Man muss im Zweifel einfach die Home-Taste drücken. Krause erklärt: «Wenn die App und die Dialogbox dann verschwinden, handelte es sich um einen Phishing-Angriff.» Kommt die Passwortabfrage hingegen vom Betriebssystem selbst, lässt sich die Dialogbox nicht über die Home-Taste schliessen.

Noch sicherer ist man allerdings, wenn man seine Apple-ID über eine zweistufige Authentifizierung absichert. Denn dann ist es mit der Eingabe des Passworts nicht getan und man muss zusätzlich einen Zahlencode eingeben, der von Apple an ein als vertrauenswürdig eingestuftes Gerät gesendet wird.

Wie man die Zwei-Faktor-Authentifizierung für die Apple-ID einrichtet, erklärt Apple hier.

So schaltest du die versteckte Karte auf deinem iPhone aus

abspielen

Video: watson/Lya Saxer

Das bringt iOS 11

Das könnte dich auch interessieren:

Alle gegen Trump: Demokraten treten an zum ersten TV-Duell

Link zum Artikel

Wer in Europa am meisten Dreckstrom produziert – und wie die Schweiz dasteht

Link zum Artikel

25 Bilder von Sportstars, die Ferien machen

Link zum Artikel

Mit diesen 10 Apps pimpst du dein Smartphone zum Büro für unterwegs

Link zum Artikel

Holland ist aus dem Häuschen, weil diesem Schwimmer gerade Historisches gelang

Link zum Artikel

Schneider-Ammanns Topbeamter gab vertrauliche Infos an Privatindustrie weiter

Link zum Artikel

Weshalb die Ära Erdogan jetzt schneller vorübergehen könnte, als du denkst

Link zum Artikel

Das sind die besten Rekruten der besten Armee der Welt

Link zum Artikel

9 «Ratschlag»-Klassiker, die du dir in Zukunft einfach mal sparen kannst

Link zum Artikel

Christian Wasserfallen nicht mehr FDP-Vize – wegen der Klimafrage?

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

4
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
4Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • ichbindochnichtblond 12.10.2017 21:47
    Highlight Highlight Um es mit den Worten von Einstein zu sagen: Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher ... Das bedeutet, dass ein verifizierter Entwickler, welcher Apple bestens bekannt ist, sich als krimineller Hacker betätigt ... ist so ähnlich wie, wenn ein Einbrecher den Polizisten zum geplanten Einbruch gleich mitnimmt, damit er ihn verhaftet kann ... ich gehe davon aus, dass Herr Felix Krause so einige Diskussionen mit Apple bevorstehen :-)
  • DerRabe 11.10.2017 21:37
    Highlight Highlight Er möchte nicht im Detail erklären, wie die Passwortabfrage nachgebaut wird? Also bitte, jeder der ne IOS-App und sei diese noch so simpel, programmieren (zusammenklicken) kann, kann auch diese Abfrage nachbauen...
  • seventhinkingsteps 11.10.2017 20:34
    Highlight Highlight Oder einen Passwortmanager benutzen, der sollte den Ursprung der Passwortabfrage erkennen. Und ausserdem auf keinen 2 Seiten dasselbe Passwort verwenden.
  • derEchteElch 11.10.2017 17:43
    Highlight Highlight Danke für den Sicherheitstipp.
    Aus solchen Gründen installiere ich nur Apps die ich wirklich brauche und aus dem offiziellen App Store sind (Meine Apps verteilen sich auf 2 Seiten, je zur Hälfte).

    PS: Meiner Meinung nach ist das Bild links gefälscht, kleinere Schrift, grauer Balken oben.. Ohh.. siehe da.. ausnahmsweise bin ich falsch gelegen.. 😅

WhatsApp wurde gehackt – darum sollten Nutzer jetzt das Notfall-Update installieren

WhatsApp hat erneut eine gravierende Sicherheitslücke: Der Mutterkonzern Facebook rät den Nutzern zu einem dringenden Update. Betroffen sind sowohl Android als auch iOS. Das steckt hinter der Spyware «Pegasus».

WhatsApp-Nutzer sollten ihre Messenger-App dringend aktualisieren. Der Grund: Der beliebte Messenger weist eine Schwachstelle auf, durch die Angreifer per WhatsApp-Anruf Spyware auf das Smartphone schleusen können. Die Lücke erlaubt somit Unbefugten Fernzugriff auf das jeweilige Gerät. Das Opfer muss den Anruf dazu nicht einmal entgegen nehmen, berichtet heise.de.

Ein Sicherheits-Patch soll die Sicherheitslücke schliessen. Das Update steht seit Kurzem zur Installation bereit. Sowohl Android- …

Artikel lesen
Link zum Artikel