iPhone X (Bild: Apple)
Der App-Entwickler Felix Krause hat mit einem Proof-of-Concept belegt, dass App-Entwickler mit geringem Aufwand das Passwort für die Apple ID Konten abgreifen können Als Manko von Apples Mobilbetriebssystem sieht Krause, dass sich Apples eigene Aufforderungen zur Passworteingabe nahezu nicht von Aufforderungen unterscheiden lassen, die von einzelnen Apps stammen. So lassen sich mit nicht einmal 30 Programmzeilen Pop-ups erzeugt, die denen von iOS auf´s Haar gleichen.
Nutzern präsentiert iOS in unregelmäßigen Abständen solche Pop-ups, etwa bei einem In-App-Kauf, wenn kurz zuvor ein iOS-Update installiert wurde oder wenn eine App bei der Installation hängenbleibt. Laut Krause seine die Nutzer daher so daran gewöhnt, dass sie in der Regel das Passwort ohne Zögern eingeben. Die Phishing-App muss dazu nicht einmal die E-Mail-Adresse des Nutzers kennen, da dies auch nicht in allen vo Apple stammenden Authentifizierungs-Pop-ups angezeigt wird.
“iOS sollte sehr klare Unterschiede sichtbar machen zwischen Elementen von System-UI und App-UI”, fordert der App-Entwickler. Das sei notwendig, damit auch für durchschnittliche Smartphone-Nutzer offensichtlich sei, dass etwas nicht stimmt, wenn sie von Dritten nach ihrem Passwort gefragt werden. Nach Ansicht von Krause ist das Problem nicht auf iOS beschränkt, sondern betrifft auch Webbrowser. “Da gibt es noch immer Websites, die Pop-ups erzeugen und wie Pop-ups von MacOS / iOS aussehen lassen, sodass viele Nutzer sie für System-Nachrichten halten.”
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Krause rät Nutzern bei der Einbelndung eines solchen Pop-ups den Home Button zu betätigen. Bleibt die Passwort-Abfrage sichtbar, handelt es sich tatsächlich um einen echten System-Dialog. Weiter empfiehlt er, Anmeldedaten grundsätzlich nicht in einem Pop-up einzugeben, sondern dieses zu schließen und die Anmeldung in den System-Einstellungen selbst vorzunehmen.
Felix Krause machte bereits kürzlich auf ein Datenleck in iOS aufmerksam. Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, können auch sämtliche Metadaten der Bilder auslesen. Dazu gehören auch die in den sogenannten EXIF-Daten enthaltenen Standortdaten. Zusammen mit den Aufnahmedaten lässt sich so ein Bewegungsprofil des Nutzers erstellen.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…
