Entwickler warnt iOS-Nutzer vor Phishing durch Pop-ups

iPhone X (Bild: Apple)

Die leicht zu erstellenden Pop-ups unterscheiden sich nicht von Apples eigener Aufforderung zur Eingabe des Passworts. Jede App könnte daher missbäuchlich das Passwort für die Apple ID des Nutzers abfragen.

Der App-Entwickler Felix Krause hat mit einem Proof-of-Concept belegt, dass App-Entwickler mit geringem Aufwand das Passwort für die Apple ID Konten abgreifen können Als Manko von Apples Mobilbetriebssystem sieht Krause, dass sich Apples eigene Aufforderungen zur Passworteingabe nahezu nicht von Aufforderungen unterscheiden lassen, die von einzelnen Apps stammen. So lassen sich mit nicht einmal 30 Programmzeilen Pop-ups erzeugt, die denen von iOS auf´s Haar gleichen.

Offizielles Pop-up und Phishing-Pop-up (Bild: Felix Krause)
Offizielles Pop-up und Phishing-Pop-up (Bild: Felix Krause)

Nutzern präsentiert iOS in unregelmäßigen Abständen solche Pop-ups, etwa bei einem In-App-Kauf, wenn kurz zuvor ein iOS-Update installiert wurde oder wenn eine App bei der Installation hängenbleibt. Laut Krause seine die Nutzer daher so daran gewöhnt, dass sie in der Regel das Passwort ohne Zögern eingeben. Die Phishing-App muss dazu nicht einmal die E-Mail-Adresse des Nutzers kennen, da dies auch nicht in allen vo Apple stammenden Authentifizierungs-Pop-ups angezeigt wird.

“iOS sollte sehr klare Unterschiede sichtbar machen zwischen Elementen von System-UI und App-UI”, fordert der App-Entwickler. Das sei notwendig, damit auch für durchschnittliche Smartphone-Nutzer offensichtlich sei, dass etwas nicht stimmt, wenn sie von Dritten nach ihrem Passwort gefragt werden. Nach Ansicht von Krause ist das Problem nicht auf iOS beschränkt, sondern betrifft auch Webbrowser. “Da gibt es noch immer Websites, die Pop-ups erzeugen und wie Pop-ups von MacOS / iOS aussehen lassen, sodass viele Nutzer sie für System-Nachrichten halten.”

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Krause rät Nutzern bei der Einbelndung eines solchen Pop-ups den Home Button zu betätigen. Bleibt die Passwort-Abfrage sichtbar, handelt es sich tatsächlich um einen echten System-Dialog. Weiter empfiehlt er, Anmeldedaten grundsätzlich nicht in einem Pop-up einzugeben, sondern dieses zu schließen und die Anmeldung in den System-Einstellungen selbst vorzunehmen.

Felix Krause machte bereits kürzlich auf ein Datenleck in iOS aufmerksam. Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, können auch sämtliche Metadaten der Bilder auslesen. Dazu gehören auch die in den sogenannten EXIF-Daten enthaltenen Standortdaten. Zusammen mit den Aufnahmedaten lässt sich so ein Bewegungsprofil des Nutzers erstellen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.