Passwortklau: Sicherheitslücke in iOS-Mail-App entdeckt

Eine Sicherheitslücke in der iOS-Mail-App gefährdet die Sicherheit von Passwörter der iCloud. Das berichtet The Register. Demnach hat der Sicherheitsexperte Jan Soucek einen Fehler entdeckt, der das Laden von HTML-Inhalten aus der Ferne ermöglicht, wenn E-Mail an das Opfer ausgeliefert wird. Zum Beispiel könnte dies eine gefälschte Anmeldeseite für Apples Cloud-Dienst iCloud sein. Auf diese Weise kann ein Angreifer Apple-ID und Passwort ausspähen.

Dem Bericht zufolge ersetzt der HTML-Inhalt die eigentliche E-Mail-Nachricht. Zwar sei JavaScript in der Web-View-Komponente der Mail-App deaktiviert, allerdings lasse sich eine funktionierende Anmeldeseiten auch mit HTML und CSS erstellen. Nutzer der Mail-App von iOS sähen nur ein Pop-up, das sich nicht von einer regulären Abfrage der iCloud-Anmeldedaten unterscheide.

Bereits seit Januar wisse Apple über die Sicherheitslücke Bescheid, so der Forscher. Allerdings habe das Unternehmen bislang nicht reagiert. Keines der nach iOS 8.1.2 ausgelieferten Updates enthalte einen Fix. “Deswegen habe ich mich entschlossen, den Proof-of-Concept-Code hier zu veröffentlichten”, schreibt Soucek in einem Eintrag auf Github.

Da Angreifer über die Schwachstelle beliebige HTML-Inhalte einschleusen können, sind nicht nur Phishing-Angriffe auf iCloud möglich. Hacker können das von Soucek bereitgestellte Tool auch Anmeldeseiten beliebiger anderer Dienste fälschen und für Phishing-Kampagnen benutzen.

Anfang der Woche gab das FBI bekannt, dass der Promi-iCloud-Hack im vergangenen Jahr mindestens 572 iCloud-Konten betraf. Zwischen 31. Mai 2013 und 31. August 2014 soll ein bereits im vergangenen Jahr verhafteter Tatverdächtiger insgesamt 3263-mal auf iCloud-Konten zugegriffen haben.

Wie er an die iCloud-Anmeldedaten gekommen ist, ist weiter unklar. Mehrere Opfer sagten der Polizei demnach, sie seien im Zeitraum vor Veröffentlichung der Fotos einmal aus dem eigenen iCloud-Konto ausgesperrt gewesen. Andere berichten, auf Phishing-Nachrichten hereingefallen zu sein und Namen und Passwort preisgegeben zu haben.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

„AI Defense“ von Cisco sichert KI-Transformation für Unternehmen

End-to-End-Lösung schützt sowohl die Entwicklung als auch den Einsatz von KI-Anwendungen.

13 Stunden ago

HYCU: Wachsende Herausforderungen für Backup, Recovery und Cyberresilienz durch KI

Daten-Trends 2025: Geschwindigkeit, mit der neue SaaS-Plattformen und Datenquellen geschützt werden können, muss drastisch erhöht…

14 Stunden ago

Von digitalen zu intelligenten Netzen: Breitband-Trends für 2025

Bandbreitenstarke Glasfasertechnologie bietet großes Potenzial für Homeoffice, Campusnetze sowie die industrielle Automatisierung.

1 Tag ago

Bleibt KI-Innovation im Zoll stecken?

Die Rückkehr Donald Trumps ins Weiße Haus könnte einen Wendepunkt in der globalen KI-Politik markieren,…

1 Tag ago

Was Tech-Absolventen von Arbeitgebern erwarten

Laut Studie interessieren sich viele Hochschulabgänger für die Arbeit mit disruptiven Technologien. Allen voran Quanten-Computing.

2 Tagen ago

Industrielle KI: Siemens beansprucht Führungsrolle

Auf der Technologiemesse CES zeigte das Unternehmen, wie Daten, KI und softwaredefinierte Automatisierung zusammenwachsen.

6 Tagen ago