/Apple

Wie sich mit gefälschten iOS-Pop-ups Passwörter stehlen lassen

WIRED Staff 11.10.2017 Lesezeit 2 Min

Der IT-Experte Felix Krause hat herausgefunden, wie einfach sich Apple-ID-Passwörter mithilfe von gefälschten Pop-ups entwenden lassen. Sein Proof-of-Concept-Modell könnte ohne großen Aufwand in bereits im App Store erhältliche Anwendungen integriert werden.

Wie der Betrug mit den gefälschten Passwort-Abfragen funktioniert, zeigt Krause auf seinem Blog. Dort schreibt er: „Möchten Sie Apple-ID-Passwörter von Nutzern abgreifen, um Zugang zu deren Apple-Account zu erhalten oder dieselbe E-Mail-/Passwort-Kombination bei verschiedenen Services auszuprobieren? Dann fragen Sie doch einfach höflich danach, dann werden die Nutzer ihre Anmeldedaten vermutlich brav eintragen — so, wie sie es gewohnt sind.“

An die Pop-ups dürften die meisten iOS-Nutzer tatsächlich gewöhnt sein. Sie erscheinen regelmäßig, zum Beispiel, wenn ein Nutzer mit seinem iPhone längere Zeit offline war. Die Anwender werden in dem Fenster aufgefordert, ihr Passwort für die Apple ID einzugeben — meist wird dabei die dazugehörige E-Mail-Adresse bereits im Text eingeblendet. App-Entwickler haben in dem Betriebssystem ebenfalls die Möglichkeit, Passwortabfragen durchzuführen.

Dafür müsste eine App allerdings entsprechend präpariert und trotz Sicherheitsprüfung bei iTunes platziert werden. Krause ist der Meinung, dass sich ein solcher Code vermutlich relativ leicht in eine bereits auf der Plattform erhältliche App einschleusen ließe. In einem Tweet weist er außerdem darauf hin, wie erschreckend einfach sich das Pop-up-Fenster fälschen ließ — nur etwa 15 Minuten will er für das nahezu perfekte Duplikat aufgewandt haben.

Krause hat für Apple auch einen Lösungsansatz parat: Die Abfrage der Zugangsdaten sollte zukünftig nicht mehr über das in unregelmäßigen Abständen erscheinende Eingabefenster erfolgen. Stattdessen könnte Apple seine Anwender für die Abfrage des Apple-ID-Passworts in die Systemeinstellungen weiterleiten. Um sicherzustellen, dass man es mit einem legitimen Pop-up zu tun hat, empfiehlt heise online das Betätigen des Homebuttons. Bei einer echten Abfrage verschwindet das Fenster daraufhin nicht sofort.