iOS-Sicherheitslücke: iCloud-Passwort kann per E‑Mail abgefangen werden

Daniel Kurbjuhn
48 Kommentare
iOS-Sicherheitslücke: iCloud-Passwort kann per E‑Mail abgefangen werden

Bereits im Januar meldete der Sicherheitsexperte Jan Soucek Apple eine bestehende Sicherheitslücke, mit der sich mit relativ einfachen Mitteln das iCloud-Passwort abgreifen lässt. Bislang hat Apple jedoch nicht auf das Problem reagiert, und so besteht die Sicherheitslücke auch mit iOS 8.3 weiter.

Für den Angriff verschickt der Angreifer eine E-Mail, die HTML‑Inhalte nachlädt, die in der ursprünglichen Nachricht nicht enthalten sind. Dieser Code wird ohne Warnung oder andere Hinweise von externen Servern geladen und in der App ausgeführt. Für den gutgläubigen Nutzer lässt sich dabei nicht erkennen, warum das iCloud-Passwort abgefragt wird.

Ruft der Anwender mit der E-Mail-App eine entsprechend präparierte E-Mail des Angreifers auf, öffnet sich ein Popup, das optisch der regulären Abfrage des iCloud-Passwortes entspricht. Das Fenster fragt nach der iCloud-Anmeldung, wobei die E-Mail-Adresse des Opfers bereits als Benutzername hinterlegt ist. Gibt der Betroffene sein Passwort ein, so erhält dieser wenige Augenblicke später eine E-Mail mit dem Inhalt: „Danke für dein Passwort (eingegebenes Passwort), du Idiot!

Erkennen lässt sich die gefälschte Passwortabfrage laut Ars Technica mit Druck auf die Home-Taste. Landet der Nutzer dadurch wieder auf dem Hauptbildschirm, handelt es sich um einen Angriff. Die echte Abfrage von Apple erlaubt diesen Vorgang nicht.

Da Apple bislang zu dem Problem keine Stellung bezogen hat, ist auch offen, wann die Sicherheitslücke geschlossen wird. Bis dahin bleibt Nutzern nur die Möglichkeit, E-Mails vorsichtig zu begegnen und Passwortabfragen im Zweifel abzubrechen.