Forum: Netzwelt
Sicherheitslücke: So könnte man Ihre Apple-ID klauen - theoretisch
Felix Krause

Ein Entwickler hat einen Weg gefunden, iPhone-Nutzern ihre Apple-Passwörter abzuluchsen. Lesen Sie hier, wie sich solche Angriffe abwehren lassen.

Nonvaio01 11.10.2017, 15:49
1. ich frage mich gerade

wie der artikel wohl ausgesehen haette wenn es sich um Android gehandelt haette und nicht Apple. So heisst es einfach...so schlimm ist es nicht.
Sorry aber ich finde es extrem krass und einen erheblichen fehler wenn man soetwas einfach machen kann, einfach fahrlaessig.

Beitrag melden Antworten / Zitieren
chk23 11.10.2017, 15:59
2.

Wenn es sich um Android gehandelt hätte, dann hätte die Meldung exakt genau so ausgesehen. Zudem dürfte sich dieser "Trick" auch bei Android Geräten mit dem Google-Account und dem Google Playstore funktionieren, da dort das Passwort auch häufiger nachgefragt wird - siehe zB hier:

https://www.android-hilfe.de/forum/google-play-store-android-market.122/staendige-passwort-abfrage-im-play-store.364657.html
Es lässt sich nun mal schwer verhindern, eine Eingabemaske nachzubauen und diese von einer App aus einzublenden. So funktionieren nun mal *sämtliche* Phishing Attacken, und das einzige , was man wirklich effizient dagegen tun kann, ist sich zu informieren, und zu lernen diese vom "Original" zu unterschieden (wie ja auch hier im Artikel beschrieben wird).

Im übrigen musste ich zB schon seit Ewigkeiten kein Apple-ID Passwort mehr eingeben, da ich mich generell mit dem Fingerabdruck-Sensor im Appstore authentifiziere.

Beitrag melden Antworten / Zitieren
st.esser 11.10.2017, 16:05
3. Ist doch ein allgemeines Problem ...

Zitat von Nonvaio01
wie der artikel wohl ausgesehen haette wenn es sich um Android gehandelt haette und nicht Apple. So heisst es einfach...so schlimm ist es nicht. Sorry aber ich finde es extrem krass und einen erheblichen fehler wenn man soetwas einfach machen kann, einfach fahrlaessig.
Abgesehen davon, dass Apple die 2-Faktor-Authentisierung praktisch erzwingt, und der Angriff damit wie im Artikel beschrieben gar nicht ausführbar ist:
Gefälschte Passwort-Dialoge sind doch kein neues Problem, die gibt es seit Jahrzehnten. Bei Windows wird deshalb "Ctrl-Alt-Del" so vom Betriebssystem abgefangen, dass man nach diesem Tastendruck in einen "sicheren" Modus kommt, z.B. um sein Passwort zu ändern.

Aber auch in Windows könnte man trivial ein Bild erscheinen lassen, dass dem normalen Screen-Saver entspricht und dann die Passwortabfrage ablaufen lassen (obwohl der Bildschirm gar nicht wirklich gesperrt war). Und dagegen hilft Ctrl-Alt-Del.
Bei einem Smartphone sind die verfügbaren Bedienelemente beschränkt, aber wie (auch im Artikel beschrieben) kann man durch drücken der Home-Taste genau den gleichen Effekt erreichen wie mit Ctrl-Alt-Del in Windows: Ein laufendes Programm wird unterbrochen (bzw. geht in den Hintergrund) und das Betriebssystem übernimmt die Kontrolle.

Also nichts, worüber man sich aufregen müsste. Nur dass den meisten Benutzern wahrscheinlich nicht bekannt ist, dass sie diesen Test auf die "Echtheit" eines Passwort-Felds machen können, nämlich die Home-Taste drücken und schauen, ob es bleibt oder verschwindet ...

Beitrag melden Antworten / Zitieren
pahrump 11.10.2017, 16:59
4. wie bekommt

er meine Apple-ID in den Abfragetext? Ich gucke da jedenfalls immer drauf.

Beitrag melden Antworten / Zitieren
hietzinger 11.10.2017, 17:24
5. einfach

klar ist, dass man so eine dialogbox einfach nachbauen kann, aber: es ist sicher nicht einfach die kontrollmechanismen von apple zu überlisten und eine solche app im apple-store unterzubringen. wer das behauptet soll es versuchen.

Beitrag melden Antworten / Zitieren
Wulff Isebrand 11.10.2017, 21:41
6. Apple ist für weniger technisch Versierte

eine Zumutung. Ich mußte mir mal ein Wochenende um die Ohren schlagen um ein von einer Tochter an ihre Mutter nach Nordeutschland verschenktes Apple Handy zu entsperren, was mit einer Apple Mailadresse und ID der Tochter in Süddeutschland verknotet war. Alles gut und schön als es lief,aber bis dahin. Beide hatten keine Ahnung wie Apple funktioniert, ich als alter Android Benutzer auch nicht so richtig. Na gut hat man einmal gewußt und in dem Augenblick wieder vergessen als es lief. Ab der 3. Generation zurück sollte Apple die Dinger vond er ID Pflicht freimachen

Beitrag melden Antworten / Zitieren
hietzinger 12.10.2017, 10:25
7. zu hr. isebrand

das ist ein feature, um das iPhone diebstahlsicher zu machen. wenn man es benützt ist es äußerst sicher. wenn man es ablehnt - einfach nicht einschalten.

Beitrag melden Antworten / Zitieren
spon-facebook-10000294691 13.10.2017, 14:14
8. Ahnungslos und Spaß dabei

Jeder 0815 Entwickler kann einen Dialog nachbauen - egal ob iOS, Android oder ob ich es mit der SPON Seite versuche. Wo ist das denn eine Meldung wert? Der Herr Krause suggeriert in seinem Beispiel, dass er auch an die AppleID des Nutzers gekommen ist und das dürfte ihm praktisch eben nicht gelingen.

Beitrag melden Antworten / Zitieren