Fehler in Mail für iOS erlaubt Diebstahl von iCloud-Passwörtern

Der Sicherheitsexperte Jan Soucek hat eine Schwachstelle in der iOS-Mail-App entdeckt. Wie The Register berichtet, erlaubt der Fehler das Laden von HTML-Inhalten aus der Ferne, wenn eine E-Mail an das Opfer ausgeliefert wird. Dabei kann es sich beispielsweise um eine falsche Anmeldeseite für Apples Clouddienst iCloud handeln, worüber ein Angreifer dann Apple-ID und Passwort ausspähen kann.

Der HTML-Inhalt ersetze die eigentliche E-Mail-Nachricht, heißt es weiter in dem Bericht. Obwohl JavaScript in der Web-View-Komponente der Mail-App deaktiviert sei, sei es möglich, funktionierende Anmeldeseiten mit HTML und CSS zu erstellen. Nutzer der Mail-App von iOS sähen nur ein Pop-up, das sich nicht von einer regulären Abfrage der iCloud-Anmeldedaten unterscheide.

Dem Forscher zufolge ist Apple die Anfälligkeit seit Januar bekannt. Das Unternehmen habe seitdem aber nicht reagiert. Keines der nach iOS 8.1.2 ausgelieferten Updates enthalte einen Fix. „Deswegen habe ich mich entschlossen, den Proof-of-Concept-Code hier zu veröffentlichten“, schreibt Soucek in einem Eintrag auf Github.

Da die Sicherheitslücke das Einschleusen von beliebigen HTML-Inhalten erlaubt, sind nicht nur Phishing-Angriffe auf iCloud möglich. Das von Soucek bereitgestellte Tool lässt Hacker Anmeldeseiten beliebiger anderer Dienste fälschen und für Phishing-Kampagnen benutzen.

Erst Anfang der Woche war bekannt geworden, dass der Promi-iCloud-Hack im vergangenen Jahr mindestens 572 iCloud-Konten betraf. Ein bereits im vergangenen Jahr verhafteter Tatverdächtiger griff zwischen 31. Mai 2013 und 31. August 2014 in Summe 3263-mal auf iCloud-Konten zu.

Wie er an die iCloud-Anmeldedaten gekommen ist, ist weiter unklar. Mehrere Opfer sagten der Polizei demnach, sie seien im Zeitraum vor Veröffentlichung der Fotos einmal aus dem eigenen iCloud-Konto ausgesperrt gewesen. Andere berichten, auf Phishing-Nachrichten hereingefallen zu sein und Namen und Passwort preisgegeben zu haben.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

9 Stunden ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

24 Stunden ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

24 Stunden ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

1 Tag ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

1 Tag ago

1 Million Dollar: Apple zahlt Prämie für Hack seiner Apple Intelligence Server

Ein neues Bug-Bounty-Programm beschäftigt sich mit Apples Private Cloud Compute. Prämien gibt es unter für…

2 Tagen ago