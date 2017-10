Jeder Apple-Nutzer kennt das: Immer, wenn man ein neues Apple-Gadget eingerichtet hat, manchmal aber auch vollkommen unerwartet, ploppt eine Dialogbox, wie die in dem Bild oben gezeigten, auf dem Bildschirm auf. Die Abfrage verlangt, man möge doch bitte das Passwort zu seiner Apple-ID eingeben. Oft ist das nervig, aber die Abfragen sollen helfen, die Sicherheit zu verbessern. Jetzt hat allerdings der iOS-Entwickler Felix Krause einen Weg gefunden, diese Dialogboxen zu fälschen.

In seinem Blog schreibt Krause, es sei "erschütternd einfach" gewesen, Apples Passwortabfrage in einer eigenen App nachzubauen. Wie das im Einzelnen geht, habe er aber "aus moralischen Gründen" nicht öffentlich machen wollen.

Vielmehr wolle er darauf aufmerksam machen, dass zumindest theoretisch die Möglichkeit besteht, sich mit solchen gefälschten Passwortabfragen Zugang zu den Accounts von Apple-Nutzern zu verschaffen. Die seien wegen der häufigen Abfragen nämlich daran gewöhnt, ihr Passwort einfach einzutippen, sobald eine entsprechende Anfrage auf dem Bildschirm erscheint.

Noch ist das nur Theorie

Krause räumt ein, dass es Kriminellen wohl nicht ganz leicht fallen dürfte, seine Methode in der Realität umzusetzen. "Apple macht einen hervorragenden Job dabei, Anwender vor gefährlichen Apps zu schützen", schreibt er in seinem Blogeintrag. Alle Apps würden von Apple kontrolliert, bevor sie im App Store landen. Laut Krause gibt es allerdings auch Möglichkeiten, Teile einer App zeitgesteuert erst später oder ferngesteuert zu aktivieren und so an Apples Kontrollen vorbei zu schleusen.

Noch ist all das reine Theorie. Für ihn sei das ein Hobby-Projekt gewesen, an dem er in seiner Freizeit gearbeitet habe, sagt Krause dem SPIEGEL. Hinweise, dass die von ihm skizzierte Methode schon von kriminellen Hackern benutzt wird, gibt es nicht.

Einfach mal die Home-Taste drücken

Seine Erkenntnisse hat Krause am 9. Oktober an Apple gemeldet. Eine Reaktion des Konzerns steht noch aus. Der Entwickler schlägt vor, die Art wie Apples iOS Passwortabfragen handhabt zu ändern. Etwa derart, dass Apps nicht mehr selbst nach dem Apple-ID-Passwort fragen dürfen, sondern den Nutzer zur Eingabe des Passworts immer in die Systemeinstellungen umleiten müssen.

Es gibt allerdings eine simple Methode, um zu überprüfen, ob eine solche Passwortabfrage legitim ist: Man muss im Zweifel einfach die Home-Taste drücken. Krause erklärt: "Wenn die App und die Dialogbox dann verschwinden, handelte es sich um einen Phishing-Angriff." Kommt die Passwortabfrage hingegen vom Betriebssystem selbst, lässt sich die Dialogbox nicht über die Home-Taste schließen.

Noch sicherer ist man allerdings, wenn man seine Apple-ID über eine zweistufige Authentifizierung absichert. Denn dann ist es mit der Eingabe des Passworts nicht getan und man muss zusätzlich einen Zahlencode eingeben, der von Apple an ein als vertrauenswürdig eingestuftes Gerät gesendet wird. Wie man dieses System einrichtet, erklären wir in der folgenden Fotostrecke: