Sicherheitslücke in Apple-Software So leicht lässt sich das iCloud-Passwort abgreifen

Schon im Januar hat ein Sicherheitsexperte einen Softwarefehler an Apple gemeldet. Da der Konzern darauf nicht reagiert hat, erklärt der Entwickler nun, wie Angreifer an iCloud-Passwörter bei iPhone- und iPad-Nutzern gelangen können.

iPhone: Der Home-Button funktioniert nur bei gefälschten Passwort-Abfragen
Matthias Kremp

iPhone: Der Home-Button funktioniert nur bei gefälschten Passwort-Abfragen


Kaum hat der Nutzer die Mail-App auf dem iPhone geöffnet, erscheint ein Popup-Fenster und verlangt das iCloud-Passwort. Die richtige E-Mail-Adresse ist bereits im Feld für den Nutzernamen eingetragen. Der Anwender gibt sein Codewort ein. Einige Sekunden später landet eine Nachricht im Posteingang. Darin steht: "Danke für dein Passwort (Password123), du Idiot!"

Die Bilder stammen aus einem YouTube-Video, mit dem der Sicherheitsexperte Jan Soucek veranschaulicht, wie einfach man dank einer Sicherheitslücke im Apple-Betriebssystem iOS an das iCloud-Passwort gelangen kann. Bereits im Januar habe er den Fehler an den Konzern aus Cupertino gemeldet, bis heute ist die Schwachstelle offenbar mit keinem Update für das iPhone oder iPad behoben worden. Auch in der aktuellen Version 8.3 bestehe das Problem noch immer. "Daher habe ich entschieden, den Code für den Machbarkeitsnachweis hier zu veröffentlichen", schreibt Soucek in einem Blogbeitrag.

In dem Artikel erklärt Soucek, wie kriminelle Hacker eine E-Mail erstellen können, die einen beliebigen Nutzer dazu auffordert, das iCloud-Passwort einzugeben. "Dieser Fehler ermöglicht es, dass HTML-Inhalte geladen werden und den Inhalt der ursprünglichen E-Mail-Nachricht ersetzen", schreibt Soucek. Dieser HTML-Code wird ohne Warnhinweis aufgerufen und zeigt den Inhalt eines externen Servers an. In diesem Fall wird ein Fenster geöffnet, das den Nutzer dazu auffordert, sich bei iCloud anzumelden.

Kaum als Angriff zu erkennen

Das Schadsoftware-Fenster sieht genauso aus wie die richtige Apple-Abfrage und ist kaum als Angriff zu erkennen - auch deshalb, weil auch die richtige iCloud-Anmeldemaske immer wieder zu unerwarteten Zeitpunkten auftaucht. Der Entwickler setzt sogar die Autofokus-Funktion der mobilen Plattform ein, die dafür sorgt, dass das Fenster automatisch geschlossen wird, sobald der Nutzer die Eingabe mit "Ok" bestätigt. Damit der Betrug nicht auffällt, speichert die Software, ob der Nutzer sein Passwort bereits verschickt hat. In diesem Fall wird das Dialogfeld nicht mehr geöffnet.

Apple hat auf eine Anfrage von SPIEGEL ONLINE am Donnerstagmorgen nicht reagiert. Bis der Fehler behoben ist, begegnet man einer gefälschten Passwort-Abfrage am besten, indem man auf den "Abbrechen"-Button drückt. Ob es sich um eine falsche Abfrage handelt, lässt sich laut "Ars Technica" daran erkennen, dass man mit dem Home-Button zurück zum Hauptbildschirm gelangt, während das Fenster geöffnet ist. Bei einer Apple-Abfrage ist diese Funktion gesperrt.

jbr



Forum - Diskutieren Sie über diesen Artikel
insgesamt 17 Beiträge
Alle Kommentare öffnen
Seite 1
merlin 2 11.06.2015
1. Wer klaren Kopfes ist, nutzt keine iCloud!
Wer klaren Kopfes ist, nutzt keine iCloud! Heute nichht mehr, in Zeiten von NSA schon gar nicht mehr und sonst auch nicht. Wer bei Facebook seine Fotos veröffentlicht, für den ist es sicherlich egal.
dbrown 11.06.2015
2. Daten gehören auf eine lokale Platte!
Dieser ganze Wolkenmist ist doch Käse, keiner weiß, wer alles seine Daten liest. Und wenn dennoch mal weg, wen soll ich da haftbar machen? Google? Apple? Sonstwen? Die haben für sowas schon zig Antworten und Gegenfragen parat.
markus_wienken 11.06.2015
3.
Zitat von merlin 2Wer klaren Kopfes ist, nutzt keine iCloud! Heute nichht mehr, in Zeiten von NSA schon gar nicht mehr und sonst auch nicht. Wer bei Facebook seine Fotos veröffentlicht, für den ist es sicherlich egal.
Ich vermag in Clouds erst einmal grundsätzlich nichts schlechtes zu erkennen. Auch ich nutze eine Cloud hin und wieder für von mir gemachte unverfängliche Fotos, Architektur, Makro, Landschaften. Sollten diese "geklaut" und ggf. unter anderen Namen veröffentlicht werden ist das für mich nicht weiter schlimm. Persönliche Daten/Bilder würde ich dort natürlich nicht ablegen wollen. Kommt also immer darauf an wie man eine Cloud nutzt.
schlaueralsschlau 11.06.2015
4.
Mittlerweile sollte doch jedem klar sein, dass iCloud, Dropbox und anderes nicht sicher sind...
Forums-Geschwurbel 11.06.2015
5.
Zitat von markus_wienkenIch vermag in Clouds erst einmal grundsätzlich nichts schlechtes zu erkennen. Auch ich nutze eine Cloud hin und wieder für von mir gemachte unverfängliche Fotos, Architektur, Makro, Landschaften. Sollten diese "geklaut" und ggf. unter anderen Namen veröffentlicht werden ist das für mich nicht weiter schlimm. Persönliche Daten/Bilder würde ich dort natürlich nicht ablegen wollen. Kommt also immer darauf an wie man eine Cloud nutzt.
... und da solche Vorfälle immer hübsch für Skandalartikel und ziemlich negative Presse sorgen, betreiben die namhaften Cloud-Betreiber auch dementsprechend hohen Aufwand, dass dies möglichst nicht passiert. Fake-Mails, die nach Passwörtern fragen, gibt's übrigens zu fast allen Portalen. Nicht nur bei der iCloud ...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.