Entwickler warnt iOS-Nutzer vor Phishing durch Pop-ups

Der App-Entwickler Felix Krause hat mit einem Proof-of-Concept belegt, dass App-Entwickler mit geringem Aufwand das Passwort für die Apple ID Konten abgreifen können Als Manko von Apples Mobilbetriebssystem sieht Krause, dass sich Apples eigene Aufforderungen zur Passworteingabe nahezu nicht von Aufforderungen unterscheiden lassen, die von einzelnen Apps stammen. So lassen sich mit nicht einmal 30 Programmzeilen Pop-ups erzeugt, die denen von iOS auf´s Haar gleichen.

Offizielles Pop-up und Phishing-Pop-up (Bild: Felix Krause)

Nutzern präsentiert iOS in unregelmäßigen Abständen solche Pop-ups, etwa bei einem In-App-Kauf, wenn kurz zuvor ein iOS-Update installiert wurde oder wenn eine App bei der Installation hängenbleibt. Laut Krause seine die Nutzer daher so daran gewöhnt, dass sie in der Regel das Passwort ohne Zögern eingeben. Die Phishing-App muss dazu nicht einmal die E-Mail-Adresse des Nutzers kennen, da dies auch nicht in allen vo Apple stammenden Authentifizierungs-Pop-ups angezeigt wird.

“iOS sollte sehr klare Unterschiede sichtbar machen zwischen Elementen von System-UI und App-UI”, fordert der App-Entwickler. Das sei notwendig, damit auch für durchschnittliche Smartphone-Nutzer offensichtlich sei, dass etwas nicht stimmt, wenn sie von Dritten nach ihrem Passwort gefragt werden. Nach Ansicht von Krause ist das Problem nicht auf iOS beschränkt, sondern betrifft auch Webbrowser. “Da gibt es noch immer Websites, die Pop-ups erzeugen und wie Pop-ups von MacOS / iOS aussehen lassen, sodass viele Nutzer sie für System-Nachrichten halten.”

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Krause rät Nutzern bei der Einbelndung eines solchen Pop-ups den Home Button zu betätigen. Bleibt die Passwort-Abfrage sichtbar, handelt es sich tatsächlich um einen echten System-Dialog. Weiter empfiehlt er, Anmeldedaten grundsätzlich nicht in einem Pop-up einzugeben, sondern dieses zu schließen und die Anmeldung in den System-Einstellungen selbst vorzunehmen.

Felix Krause machte bereits kürzlich auf ein Datenleck in iOS aufmerksam. Apps, die Zugriff auf die Foto-Bibliothek eines iOS-Geräts erhalten, können auch sämtliche Metadaten der Bilder auslesen. Dazu gehören auch die in den sogenannten EXIF-Daten enthaltenen Standortdaten. Zusammen mit den Aufnahmedaten lässt sich so ein Bewegungsprofil des Nutzers erstellen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Fehlende Subventionen: Intel verschiebt Baubeginn seiner Chipfabrik in Ohio

Der US-Kongress streitet weiterhin über Details eines 52 Milliarden Dollar schweren Subventionspakets. Am Zeitplan für…

1 Tag ago

Microsoft informiert Nutzer von Windows 8.1 über nahendes Support-Ende

Ab Juli blendet das OS Benachrichtigungen ein. Der Support endet am 10. Januar 2023. Windows…

1 Tag ago

Graphcore und Aleph Alpha entwickeln gemeinsam multimodale KI-Modelle

Graphcore will bis 2024 den weltweit ersten ultraintelligenten KI-Computer bereitstellen.

2 Tagen ago

Apple führt mit iOS 16 Alternative zu CAPTCHA-Tests ein

Die sogenannten Private Access Tokens nutzen bereits auf einem Gerät vorhandene Daten. An der Entwicklung…

2 Tagen ago

Öffentliche und private Investitionen in Quantentechnologien steigen

McKinsey: Erste Profiteure der rasanten QT-Entwicklung sind voraussichtlich die Pharma-, Chemie-, Automobil- und Finanzindustrie.

2 Tagen ago

Was uns die Physik über datengetriebenes Marketing verrät

Datengetriebene Technologien wie Predictive Analytics eröffnen im digitalen Marketing neue Möglichkeiten, sagt PwC-Marketing-Experte Mathias Elsässer…

2 Tagen ago