Passwortklau: Sicherheitslücke in iOS-Mail-App entdeckt
Angreifer können die Schwachstelle ausnutzen, um Zugangsdaten zur iCloud abzugreifen. Der Fehler ist angeblich seit Januar bekannt. Einen Patch hat Apple bislang nicht veröffentlicht. Der Entdecker des Bugs hat aus diesem Grund Proof-of-Concept-Code auf Github bereitgestellt.
Eine Sicherheitslücke in der iOS-Mail-App gefährdet die Sicherheit von Passwörter der iCloud. Das berichtet The Register. Demnach hat der Sicherheitsexperte Jan Soucek einen Fehler entdeckt, der das Laden von HTML-Inhalten aus der Ferne ermöglicht, wenn E-Mail an das Opfer ausgeliefert wird. Zum Beispiel könnte dies eine gefälschte Anmeldeseite für Apples Cloud-Dienst iCloud sein. Auf diese Weise kann ein Angreifer Apple-ID und Passwort ausspähen.
Dem Bericht zufolge ersetzt der HTML-Inhalt die eigentliche E-Mail-Nachricht. Zwar sei JavaScript in der Web-View-Komponente der Mail-App deaktiviert, allerdings lasse sich eine funktionierende Anmeldeseiten auch mit HTML und CSS erstellen. Nutzer der Mail-App von iOS sähen nur ein Pop-up, das sich nicht von einer regulären Abfrage der iCloud-Anmeldedaten unterscheide.
Bereits seit Januar wisse Apple über die Sicherheitslücke Bescheid, so der Forscher. Allerdings habe das Unternehmen bislang nicht reagiert. Keines der nach iOS 8.1.2 ausgelieferten Updates enthalte einen Fix. “Deswegen habe ich mich entschlossen, den Proof-of-Concept-Code hier zu veröffentlichten”, schreibt Soucek in einem Eintrag auf Github.
Da Angreifer über die Schwachstelle beliebige HTML-Inhalte einschleusen können, sind nicht nur Phishing-Angriffe auf iCloud möglich. Hacker können das von Soucek bereitgestellte Tool auch Anmeldeseiten beliebiger anderer Dienste fälschen und für Phishing-Kampagnen benutzen.
Anfang der Woche gab das FBI bekannt, dass der Promi-iCloud-Hack im vergangenen Jahr mindestens 572 iCloud-Konten betraf. Zwischen 31. Mai 2013 und 31. August 2014 soll ein bereits im vergangenen Jahr verhafteter Tatverdächtiger insgesamt 3263-mal auf iCloud-Konten zugegriffen haben.
Wie er an die iCloud-Anmeldedaten gekommen ist, ist weiter unklar. Mehrere Opfer sagten der Polizei demnach, sie seien im Zeitraum vor Veröffentlichung der Fotos einmal aus dem eigenen iCloud-Konto ausgesperrt gewesen. Andere berichten, auf Phishing-Nachrichten hereingefallen zu sein und Namen und Passwort preisgegeben zu haben.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.