Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
Anzeige
 
 

iPhone: Gefahr ständiger Passwortabfragen in iOS

Christopher Gabbert 11.10.2017 - 09:53|17
iPhone: Gefahr ständiger Passwortabfragen in iOS

Dass man in allen möglichen Situation nach dem Passwort der Apple ID gefragt wird, gehört für viele iPhone-Nutzer mittlerweile zum täglich Brot. Doch genau da liegt eine Gefahr von iOS, die jetzt ein App-Entwickler aufzeigt.

Eine der eher nervigen Eigenarten von iOS sind die regelmäßig auftauchenden Pop-ups, in denen die Eingabe des Passwortes für die Apple ID verlangt wird. Diese tauchen beim Installieren und in einigen Fällen auch beim Aktualisieren von Apps sowie auch bei manch banal erscheinenden Tätigkeiten auf dem iPhone und iPad auf. Mittlerweile sind viele Nutzer an die aus unerfindlichen Grund auftauchende Eingabeaufforderung gewohnt, dass diese nicht zweimal über die Passworteingabe nachdenken.

Anzeige

Genau darin sieht App-Entwickler Felix Krause ein großes Sicherheits-Problem von iOS: Die Abfrage lässt sich ihm zufolge zu leicht von Dritten zum Abgreifen von Anmeldeinformationen missbrauchen. Wie leicht, das zeigt der Entwickler in seinem Blog, wo er die Original-Abfrage von Apple und eine selbst kreierte Aufforderung zur Passworteingabe einander gegenüberstellt. Krause zufolge bedarf es zur Programmierung des Fakes weniger als 30 Codezeilen und bereits im App-Store existierende Apps könnten mit damit "nachgerüstet" werden.

Originale (li) und Fake-Abfrage (re) nach dem Passwort der Apple ID | (c) Felix Krause
Originale (li) und Fake-Abfrage (re) nach dem Passwort der Apple ID | (c) Felix Krause

Doch nicht nur von Apps ausgelöste Pop-up machen Probleme. Auch über den Browser schaffen es Webseiten immer wieder Meldungen anzeigen zu lassen, die einer Nachricht vom Betriebssystem sehr ähnlich sehen. Daher muss Apple eine Möglichkeit finden, anzuzeigen, welche Elemente von System-Apps und welche von Drittanbieter-Anwendungen stammen. Der Entwickler empfiehlt, dass in Cupertino ein einheitliches Design für System-Meldungen entwickelt wird, der unmöglich nachzuahmen ist.

Wie kann ich mich davor schützen?

Bis Apple Änderungen vornimmt, gibt es verschiedene Möglichkeiten, um solchen Fake-Meldungen nicht auf dem Leim zu gehen. Taucht eine solche Einblendung auf, sollen Nutzer einfach auf den Home-Button drücken. Dadurch werde eine böswillige App und die dazugehörige Fake-Abfrage geschlossen, valide System-Meldungen bleiben aber in der Regel weiter eingeblendet. Wer zusätzlich auf Nummer sicher gehen möchte, kann zusätzlich ein falsches Passwort eingeben, um zu überprüfen, ob es "geschluckt" wird, was bei einer legitimen Meldung nicht der Fall sein dürfte.

Als weitere Sicherheitsmaßnahme ist es zudem zu empfehlen, die Zwei-Faktor-Authentifizierung zu aktivieren. Versucht man selber oder jemand unbefugtes sich in systemkritische Bereiche mit der Apple ID einzuloggen, wird ein sechsstelliger Code sowie der Standort des Anwenders, auf ein verifiziertes Gerät gesendet. Mehr Infos zur Zwei-Faktor-Authentifizierung für iPhone und iPad findet ihr auf der Support-Webseite von Apple.

Mehr zum Thema: iPhone

Quelle: Felix Krause via Ars Technica

Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Lesen Sie alle 17 Kommentare in unser Community.
Kommentare
  1. 13.10.17 18:16 IchBinNichtAreamobile.de (Advanced Handy Master)

    @DerZander:"Bei iOS geht es hauptsächlich um die iCloud Zugangsdaten, die man "dauernd" eingeben/bestätigen muss. Da ich iCloud auf meinem iPad im Grunde nicht nutze, habe ich das Problem auch nicht."
    >>Ah ok, also kann man am Ende sagen, dass das Problem hier doch eher etwas aufgeplustert wurde.

    "Das Problem, das in der News angesprochen wird, ist ja ein generelles, nämlich das böswillige Anwendungen Systemdialoge nachbasteln. [...]"
    >>Ja wie ich auch sagte, ist das auf anderen System bereits bekannt und wurde bei Android auch schon mehrfach angemahnt.

    "Apple könnte hier aber schnell Abhilfe schaffen, wenn die Dialoge das Icon der App einblenden würden von dem Sie kommen. (wie im Notificationcenter)"
    >>Einfach ein fremdes Icon nachahmen? Bzw je nachdem wie die Icons generiert werden, die Icons einer bestimmten Größe so anpassen, dass sie aussehen wie eine andere App.

    "Ein altes System wie Windows, wo Anwendungen früher einfach alles durften, im nachhinein halbwegs sicher zu bekommen, ist eben schwierig. Wenn sich die x86-Anwendungen (bei WinRT-Apps ist das ja kein Problem) an die Regeln halten, dann läuft auch alles fluffig, aber gerade ältere Programme machen da manchmal Dinge, bei denen man mit den Ohren schlackert was die Sicherheit angeht."
    >>Naja auch neue Programme von MS selbst machen häufig Probleme diesbzgl (also was die Ausnutzung der Rechte angeht). Das Fehlen eines Sicherheitskonzepts bzw eines Sicherheitsdesigns merkt man eben doch deutlich.

    "Im normalen Betrieb bekommt man die UAC eigentlich kaum zu sehen."
    >>Ja gut im Nachgang muss ich sagen, dass das stimmt. Es war zumindest nicht so extrem wie ich es beschrieben habe. Umgekehrt muss ich aber sagen, dass ich auf Windows einige Sachen mache bzw machen muss, die auf Linux entweder eine Ausnahme sind oder sogar ein totales No-Go.

  2. 13.10.17 10:58 cookieman (Professional Handy Master)

    Also mir sind ständige Passwortfragen nicht bekannt, weder bei Mail, Safari noch anderen Apps unter IOS. Alle unsere Geräte sind mit dem iCloudaccount verbunden in der auch das Feature Schlüsselbund aktiv ist.
    Ich kann mir vorstellen das User unter Umständen nicht die Schlüsselbundfeature nutzen in der Zugangsdaten inkl. PW enthalten sind, und evtl. zu den PW Abfragen führen können.

    Ansonsten kann es bei der einen oder anderen App nach Updates zu einer Abfrage führen.
    iCloud Accountabfrage erfolgt auch, aber ist eher die Ausnahme.

  3. 13.10.17 10:48 DerZander (Handy Profi)

    @IBNAM

    Bei iOS geht es hauptsächlich um die iCloud Zugangsdaten, die man "dauernd" eingeben/bestätigen muss. Da ich iCloud auf meinem iPad im Grunde nicht nutze, habe ich das Problem auch nicht.

    Das Problem, das in der News angesprochen wird, ist ja ein generelles, nämlich das böswillige Anwendungen Systemdialoge nachbasteln. Apple könnte hier aber schnell Abhilfe schaffen, wenn die Dialoge das Icon der App einblenden würden von dem Sie kommen. (wie im Notificationcenter) Oder in dem man ganz auf solche Dialoge verzichtet und alles über die Einstellungen machen muss. Ist im zweifelsfall aber weniger komfortabel.

    Wie auch immer, ein Passwortmanager löst das Problem nicht. ;)

    >> Bei Windows ist es das UAC ... hier muss man zwar kein Passwort eingeben
    >> (was hier ein Vorteil ist), aber dafür muss man Admin-Rechte wie Konfetti vergeben
    >> als Normalanwender, weil gefühlt jede zweite App Admin-Rechte braucht.

    Wenn man nur Userrechte hat, dann muss man für administrative Sachen durchaus den Admin-Account eingeben. Wenn man nicht gerade installiert, dann hält sich das aber auch in Grenzen und ist außerdem in der "Schärfe" einstellbar, wann die UAC anspringt. Blöd ist sowas wie OpenVPN, dass jedes Mal beim Starten Adminrechte einfordert, aber das sind eigentlich Ausnahmen. Im normalen Betrieb bekommt man die UAC eigentlich kaum zu sehen.

    Ein altes System wie Windows, wo Anwendungen früher einfach alles durften, im nachhinein halbwegs sicher zu bekommen, ist eben schwierig. Wenn sich die x86-Anwendungen (bei WinRT-Apps ist das ja kein Problem) an die Regeln halten, dann läuft auch alles fluffig, aber gerade ältere Programme machen da manchmal Dinge, bei denen man mit den Ohren schlackert was die Sicherheit angeht.

  4. 12.10.17 20:12 IchBinNichtAreamobile.de (Advanced Handy Master)

    Könnte mir ein iOS-Nutzer (also außer Fritz oder Echse) sagen, ob da was dran ist an der ständigen Passwortfragerei? Und wenn ja, wo genau überall PWs abgefragt werden bzw bei welchen Gelegenheiten?

    Das grundsätzliche Problem kenne ich von (Desktop-)Linux ja auch. Hier ist aber klar, dass alles was root-Rechte braucht auch ein Passwort erfordert ... also alles was Änderungen am System zu tun hat (inklusive Installation von Apps und auch Upgrades). Unter Linux erfordern im Betrieb nur sehr sehr wenige Apps root-Rechte und wenn doch, dann ist auch klar, dass sie Änderungen am System verursachen (zB Firewall).

    Bei Windows ist es das UAC ... hier muss man zwar kein Passwort eingeben (was hier ein Vorteil ist), aber dafür muss man Admin-Rechte wie Konfetti vergeben als Normalanwender, weil gefühlt jede zweite App Admin-Rechte braucht.

    Das Problem, dass authentische Passwortabfragen klar erkennbar sein müssen und nicht ohne weiteres imitierbar sein dürfen, ist hingegen sehr gut bekannt bei anderen OS auch weitestgehend klar geregelt. Android fällt gelegentlich mit der Umgehung der Draw-Over/Overlay-Permission auf, was zumindest ein Teil der Lösung des Problems bei Android darstellt (so es denn funktioniert). Inwiefern das bei iOS eine Ausnutzung eines OS- oder Bedienungsfehlers ist, kann ich nicht beurteilen, aber vllt kann da ein regelmäßiger iOS-Nutzer sagen wie sich das verhält (also außer Echse oder Fritz ... versteht sich von selbst).

  5. 12.10.17 13:51 DerZander (Handy Profi)

    @Fritz
    >> Noch einmal gaaanz langsam zum mitlesen

    Warum du immer gleich so erregt bist, erschließt sich mir nicht? Was habe ich den böses getan? Ist sicherlich nicht gesund, wenn du dich immer gleich so aufregst.

    Dass die Leute heutzutage immer wegen jeder Kleinigkeit gleich völlig "getriggert" sind und in die Opferrolle fallen, ist wohl der aktuelle Zeitgeist. Tja.

    >> In meinem Beitrag ging es NICHT um einen Vergleich verschiedener Passwordmanager.

    In meinem Posting aber. :) Das Thema Passwortmanager ist doch ganz interessant, oder?

    >> Es ging mir darum, wie man allzu einfache Kennwörter vermeiden und sie
    >> gleichzeitig dennoch immer "erinnern" und zur Hand haben kann.

    Was übrigens gar nichts mit dem Inhalt der News zu tun hat, was dir aufgefallen wäre, wenn du das angesprochene Problem verstanden hättest.

  6. 12.10.17 11:54 Fritz_The_Cat (Advanced Handy Master)

    @ Zander:
    "Hier übrigens ein guter Vergleich:
    https://www.golem.de/news/passwortmanager-im-vergleich-das-letzte-passwort-das-du-dir-jemals-merken-musst-1710-130346.html "

    ==> Noch einmal gaaanz langsam zum mitlesen: In meinem Beitrag ging es NICHT um einen Vergleich verschiedener Passwordmanager. Es ging mir darum, wie man allzu einfache Kennwörter vermeiden und sie gleichzeitig dennoch immer "erinnern" und zur Hand haben kann.

antworten
 
Mehr Informationen
Anzeige
Aktuelle Geräte im Test
Anzeige