Passwortklau: Sicherheitslücke in iOS-Mail-App entdeckt

Eine Sicherheitslücke in der iOS-Mail-App gefährdet die Sicherheit von Passwörter der iCloud. Das berichtet The Register. Demnach hat der Sicherheitsexperte Jan Soucek einen Fehler entdeckt, der das Laden von HTML-Inhalten aus der Ferne ermöglicht, wenn E-Mail an das Opfer ausgeliefert wird. Zum Beispiel könnte dies eine gefälschte Anmeldeseite für Apples Cloud-Dienst iCloud sein. Auf diese Weise kann ein Angreifer Apple-ID und Passwort ausspähen.

Dem Bericht zufolge ersetzt der HTML-Inhalt die eigentliche E-Mail-Nachricht. Zwar sei JavaScript in der Web-View-Komponente der Mail-App deaktiviert, allerdings lasse sich eine funktionierende Anmeldeseiten auch mit HTML und CSS erstellen. Nutzer der Mail-App von iOS sähen nur ein Pop-up, das sich nicht von einer regulären Abfrage der iCloud-Anmeldedaten unterscheide.

Bereits seit Januar wisse Apple über die Sicherheitslücke Bescheid, so der Forscher. Allerdings habe das Unternehmen bislang nicht reagiert. Keines der nach iOS 8.1.2 ausgelieferten Updates enthalte einen Fix. “Deswegen habe ich mich entschlossen, den Proof-of-Concept-Code hier zu veröffentlichten”, schreibt Soucek in einem Eintrag auf Github.

Da Angreifer über die Schwachstelle beliebige HTML-Inhalte einschleusen können, sind nicht nur Phishing-Angriffe auf iCloud möglich. Hacker können das von Soucek bereitgestellte Tool auch Anmeldeseiten beliebiger anderer Dienste fälschen und für Phishing-Kampagnen benutzen.

Anfang der Woche gab das FBI bekannt, dass der Promi-iCloud-Hack im vergangenen Jahr mindestens 572 iCloud-Konten betraf. Zwischen 31. Mai 2013 und 31. August 2014 soll ein bereits im vergangenen Jahr verhafteter Tatverdächtiger insgesamt 3263-mal auf iCloud-Konten zugegriffen haben.

Wie er an die iCloud-Anmeldedaten gekommen ist, ist weiter unklar. Mehrere Opfer sagten der Polizei demnach, sie seien im Zeitraum vor Veröffentlichung der Fotos einmal aus dem eigenen iCloud-Konto ausgesperrt gewesen. Andere berichten, auf Phishing-Nachrichten hereingefallen zu sein und Namen und Passwort preisgegeben zu haben.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Lesen Sie auch : Inbox “sauber” halten
Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

KI als Pairing-Partner in der Software-Entwicklung

Pair Programming ist eine verbreitete Methode in der Softwareentwicklung mit vielen positiven Effekten, erklärt Daniel…

2 Tagen ago

Confare #ImpactChallenge 2024 – jetzt einreichen und nominieren

Mit der #ImpactChallenge holt die IT-Plattform Confare IT-Verantwortliche auf die Bühne, die einen besonderen Impact…

3 Tagen ago

Ransomware: Zahlen oder nicht zahlen?

Sollen Unternehmen mit den Ransomware-Angreifern verhandeln und das geforderte Lösegeld zahlen?

3 Tagen ago

KI-gestützter Cobot automatisiert Sichtprüfung

Die manuelle Qualitätsprüfung von Industrieprodukten ist ermüdend und strengt an.  Eine neue Fraunhofer-Lösung will Abhilfe…

3 Tagen ago

Digitalisierungsberufe: Bis 2027 fehlen 128.000 Fachkräfte

Studie des Instituts der deutschen Wirtschaft (IW) zeigt, in welchen Digitalisierungsberufen bis 2027 die meisten…

4 Tagen ago

Angriffe auf Automobilbranche nehmen zu

Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomes Fahren bieten zahlreiche Angriffspunkte.

4 Tagen ago