News & Rumors: 11. October 2017,

Proof of Concept: Sieht aus wie Apple, ist aber Phishing

Phishing, Bild: CC0
Phishing, Bild: CC0

Früher war Schadsoftware darauf aus, Daten zu manipulieren oder löschen. Heute sind Login-Daten für verschiedene Dienste wesentlich wertvoller. iOS fragt manchmal, auch ohne ersichtlichen Grund, nach dem Passwort für die Apple ID. Und das können auch andere Apps, wie ein Entwickler demonstriert.

App bittet zur Passworteingabe

Der Entwickler Felix Krause hat auf seiner Webseite ein Konzept vorgestellt, wie Angreifer theoretisch Passwörter der Apple ID von ahnungslosen Nutzern abgreifen können. Das sei nicht besonders schwer, denn als Entwickler könne man mit UIAlertController dieselbe Dialogbox verwenden, wie es Apple bei einer legitimen Anfrage tut. Wie man das im Detail bewerkstelligen kann, habe Apple dabei sogar in der Entwickler-Dokumentation niedergeschrieben.

Passwort-Phishing mit iOS-Bordmitteln, Bild: Felix Krause

Passwort-Phishing mit iOS-Bordmitteln, Bild: Felix Krause

Lediglich um den passenden Text müsse man sich selbst kümmern. Das ist in den meisten Fällen nicht ganz so einfach, da viele derartige Eingabeboxen die Apple-ID auflisten. Allerdings gibt es, wie im Screenshot darstellt, auch den Fall, dass einfach nur stumpf nach dem Passwort verlangt wird.

Es gibt allerdings ein paar Zeichen, die darauf hindeuten, ob das Dialogfeld von einer App oder vom System kommt. Drückt man den Home-Button, schließt sich die App. Wenn dann auch die Aufforderung verschwindet, kam die Anfrage von einer App. Grundsätzlich sollten Nutzer ihr Passwort immer nur in der Einstellungen-App eingeben.

Außerdem empfiehlt Krause, die Zweifaktor-Authentifizierung zu aktivieren. Denn selbst wenn ein Angreifer an ein gültiges Login-Paar aus E-Mail-Adresse und Passwort kommt, kann er sich damit in den meisten Situationen nicht einfach so einloggen.



Proof of Concept: Sieht aus wie Apple, ist aber Phishing
4 (80%) 10 Bewertungen

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.

Zuletzt kommentiert






Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>