iPhone X (Bild: Apple)
Der App-Entwickler Felix Krause hat mit einem Proof-of-Concept belegt, dass App-Entwickler mit geringem Aufwand das Passwort für die Apple ID Konten abgreifen können Als Manko von Apples Mobilbetriebssystem sieht Krause, dass sich Apples eigene Aufforderungen zur Passworteingabe nahezu nicht von Aufforderungen unterscheiden lassen, die von einzelnen Apps stammen. So lassen sich mit nicht einmal 30 Programmzeilen Pop-ups erzeugt, die denen von iOS auf´s Haar gleichen.
Nutzern präsentiert iOS in unregelmäßigen Abständen solche Pop-ups, etwa bei einem In-App-Kauf, wenn kurz zuvor ein iOS-Update installiert wurde oder wenn eine App bei der Installation hängenbleibt. Laut Krause seine die Nutzer daher so daran gewöhnt, dass sie in der Regel das Passwort ohne Zögern eingeben. Die Phishing-App muss dazu nicht einmal die E-Mail-Adresse des Nutzers kennen, da dies auch nicht in allen vo Apple stammenden Authentifizierungs-Pop-ups angezeigt wird.
“iOS sollte sehr klare Unterschiede sichtbar machen zwischen Elementen von System-UI und App-UI”, fordert der App-Entwickler. Das sei notwendig, damit auch für durchschnittliche Smartphone-Nutzer offensichtlich sei, dass etwas nicht stimmt, wenn sie von Dritten nach ihrem Passwort gefragt werden. Nach Ansicht von Krause ist das Problem nicht auf iOS beschränkt, sondern betrifft auch Webbrowser. “Da gibt es noch immer Websites, die Pop-ups erzeugen und wie Pop-ups von MacOS / iOS aussehen lassen, sodass viele Nutzer sie für System-Nachrichten halten.”
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Krause rät Nutzern bei der Einbelndung eines solchen Pop-ups den Home Button zu betätigen. Bleibt die Passwort-Abfrage sichtbar, handelt es sich tatsächlich um einen echten System-Dialog. Weiter empfiehlt er, Anmeldedaten grundsätzlich nicht in einem Pop-up einzugeben, sondern dieses zu schließen und die Anmeldung in den System-Einstellungen selbst vorzunehmen.
Felix Krause machte bereits kürzlich auf ein Datenleck in iOS aufmerksam. Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, können auch sämtliche Metadaten der Bilder auslesen. Dazu gehören auch die in den sogenannten EXIF-Daten enthaltenen Standortdaten. Zusammen mit den Aufnahmedaten lässt sich so ein Bewegungsprofil des Nutzers erstellen.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
