iOS: Passwort-Phishing mit Pop-ups

Der österreichische App-Entwickler Felix Krause warnt vor einer überraschend einfachen Methode, mit der sich Passwörter für Apple-ID-Konten abgreifen lassen. Mit einem Proof-of-Concept zeigt er auf, wie eine bösartige App mit wenig Aufwand an das Passwort kommt. „Bitte deine Nutzer einfach freundlich“, schreibt er in einem Blogeintrag. „Sie werden ihre Anmeldedaten wahrscheinlich einfach aushändigen, weil ihnen das so beigebracht wurde.“

Als jahrelang bestehendes und bislang ignoriertes Schlupfloch von Apples Mobilbetriebssystem sieht er, dass Apples offizielle Aufforderungen zur Passworteingabe praktisch nicht von Aufforderungen zu unterscheiden sind, die von einzelnen Apps kommen. Sein beispielhafter Code benötigt weniger als 30 Programmzeilen und erzeugt Pop-ups, die ebenso direkt von iOS kommen könnten.

iOS-Nutzer sind gewohnt, in unregelmäßigen Abständen solche Pop-ups zu sehen. Das kann etwa geschehen, wenn sie einen In-App-Kauf tätigen wollen, kürzlich ein iOS-Update installiert haben oder eine App bei der Installation hängenbleibt. Aus Gewohnheit heraus vertrauen die meisten Nutzer darauf, eine Aufforderung von Apple erhalten zu haben, und zögern daher nicht, ihr Passwort einzugeben. Eine Phishing-App muss zudem nicht unbedingt schon die E-Mail-Adresse des Nutzers kennen, da auch manche offizielle Authentifizierungs-Pop-ups diese nicht beinhalten.

„iOS sollte sehr klare Unterschiede sichtbar machen zwischen Elementen von System-UI und App-UI“, fordert der App-Entwickler. Idealerweise sollte so für den durchschnittlichen Smartphone-Nutzer offensichtlich sein, dass etwas nicht stimmt. „Das ist ein kniffliges Problem, das der Lösung bedarf. Webbrowser haben noch immer damit zu kämpfen. Da gibt es noch immer Websites, die Pop-ups erzeugen und wie Pop-ups von macOS / iOS aussehen lassen, sodass viele Nutzer sie für System-Nachrichten halten.“

Krause rät zu verschiedenen Vorsichtsmaßnahmen, solange Apple keine Lösung bereitstellt und die Phishing-Gefahr entschärft. So könnten Nutzer beim Auftauchen eines solchen Pop-ups den Homebutton betätigen. Bleibe die Passwort-Abfrage weiterhin sichtbar, handle es sich um einen echten System-Dialog. Weiterhin sei zu empfehlen, Anmeldedaten grundsätzlich nicht einem Pop-up anzuvertrauen, sondern dieses zu schließen und die Anmeldung selbst in den System-Einstellungen vorzunehmen. Das sei vergleichbar dem Prinzip, niemals auf Links in E-Mails zu klicken, sondern Websites stattdessen manuell zu öffnen.

Felix Krause war für Twitter tätig und arbeitet inzwischen bei Google. Kürzlich machte der App-Entwickler bereits auf ein Datenleck in iOS aufmerksam. Demnach sind Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, auch in der Lage, jegliche Metadaten der Bilder auszulesen. Als Folge können diese Apps auch die in den sogenannten EXIF-Daten enthaltenen Standorte auslesen und zusammen mit den Aufnahmedaten sogar ein Bewegungsprofil eines Nutzers erstellen. Je nach Umfang der Bibliothek ist das sogar über Jahre hinweg möglich.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.