So einfach ist es, Apple-ID-Passwörter zu klauen

  • Allgemein

  • HotPi
  • 2561 Aufrufe 2 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • So einfach ist es, Apple-ID-Passwörter zu klauen

    So einfach ist es, Apple-ID-Passwörter zu klauen
    Bei Apple-Geräten erscheinen regelmässig Pop-ups, welche die Eingabe des iTunes-Passworts verlangen. Ein Software-Entwickler hat nun herausgefunden, wie diese gefälscht werden können.
    von Luca Perler 11.10.2017

    Wer ein iPhone oder iPad sei Eigen nennt, kennt die plötzlich erscheinenden Pop-up-Fenster wohl bestens, die zur Eingabe des Apple-ID-Kennworts auffordern. Der Software-Entwickler Felix Krause hat nun herausgefunden, dass sich diese sehr gut dafür eignen, um Passwörter von Nutzerinnen und Nutzern zu entwenden, wie er in einem Blog-Beitrag erläutert. «iOS verlangt das iTunes-Passwort aus verschiedensten Gründen, etwa nach einem Software-Update», schreibt Krause. Folglich seien Userinnen und User darauf trainiert, ihr Kennwort einzugeben, sobald sie danach gefragt werden.
    Grundsätzlich ist es laut Krause nämlich auch nicht sonderlich schwierig, eine Phishing-App zu schreiben, die nach dem Passwort der Userinnen und User fragt. Einzige Hürde sei dabei die Sicherheitsprüfung von Apple. Aber auch dafür hat er eine Lösung parat. Entwickler könnten ein entsprechendes Pop-up nachträglich einschmuggeln, das sich erst nach der Zulassung im App-Store aktiviert. In einem «Proof of Concept» zeigt Krause nun, dass es möglich ist, in Apps eine Kennwortabfrage zu integrieren, die jener von Apple bis ins kleinste Detail gleicht.

    Wie erkennt man Phishing-Angriffe?

    Krause liefert allerdings auch einige Tipps, damit sich Userinnen und User vor solchen Phishing-Angriffen schützen können. Der Entwickler empfiehlt etwa, den Home-Button zu drücken, sobald eine Passworteingabe gefordert wird. «Wird dadurch die App mitsamt Dialog geschlossen, handelt es sich um eine Phishing-Attacke», schreibt er. Bleibt das Fenster hingegen sichtbar, kann das Passwort eingegeben werden. Denn dann handle es sich um einen Systemdialog, der nicht Teil einer iOS-App sei.
    Schutz vor solchen Fallen liefert gemäss Krause auch die Zwei-Faktor-Authentifizierung. Er empfiehlt deshalb allen Nutzern, diese einzuschalten. So können sich Hacker zumindest keinen Zugang zum Apple-Konto verschaffen. Bei schlechten Gewohnheiten komme hierbei allerdings eine weitere Problematik hinzu: «Weil viele User eine Kombination aus Nutzername und Passwort oft nicht nur bei der Apple-ID verwenden, ist möglicherweise die Sicherheit anderer Webdienste gefährdet.»
    Um die Situation zu entschärfen, nimmt Krause aber auch Apple in die Pflicht. Er schlägt vor, dass das Apple-ID-Kennwort künftig nicht mehr direkt, sondern über die Einstellungen eingegeben werden soll. Für mehr Transparenz könne zudem etwa sorgen, dass in der rechten oberen Ecke der Dialogbox das Logo der entsprechenden App eingeblendet wird, sofern eine Anwendung für das Erscheinen der Aufforderung verantwortlich ist. Und schliesslich sollen Nutzerinnen und Nutzer laut Krause grundsätzlich nicht ständig aufgefordert werden, ihr Passwort einzugeben.


    Quelle: So einfach ist es, Apple-ID-Passwörter zu klauen
  • dies scheint ein interessanter artikel zu sein ^^
    aber ich kann von mir aus sagen ,bei meinem software updates von ios egal welche version wurde ich nie nach der id gefragt ;)
    nur immer nach der sim pin und meinem log in am mobile :D
    könnte es sein das er damit vielleicht die gejailbrackten iphones meinte ? ^^
    dieses geht aus seinem beitrag nicht hervor
    man sollte nicht immer alles für wahr ansehen aber hinterfragen schon
    ich benutze 6+ und 7+

    gruss snoppy :read:
  • Hallo zusammen,

    ich denke, das kann ich erklären. Es ist abhängig vom Typ des Updates, ob bei dem ersten Start nach einem Update nach der Apple-ID, Cloud-ID, so wie den zugehörigen Passwörten gefragt wird.
    Die letzten beiden Updates, die ich auf meinen IOS Geräten eingespielt habe, wurde ich auch nicht nach irgendwelchen IDs und Passwörtern gefragt.
    Es hängt davon ab, ob bei einem Update die Verbindung zum Apple Store zurückgesetzt wird, oder nicht.

    Bei früheren IOS Updates ist das Fragen nach den genannten IDs bei mir bei der ersten Anmeldung nach dem Reboot in der Regel der Fall gewesen.

    Dieses Verhalten ist definitiv davon unabhängig, ob ein Gerät vor dem Update gejailbreaked war, oder nicht ;)

    cheers, Bogi
    IRC war gestern, ... heute haben wir den Chat

    realize your tasks, then take a deep breath and go for it!