Sieht aus wie ein iCloud-Login-Fenster, ist aber ein Versuch die Credentials abzugreifen.

Grafik: Apple

Apple hat sich für vieles einen Namen gemacht, die Absicherung der eigenen Online-Services gehört nicht unbedingt dazu. Immer wieder kam es in der Vergangenheit zu erfolgreichen Angriffen gegen iCloud-Accounts, die zu einem guten Teil durch Versäumnisse in der Apple-Infrastruktur befördert wurden.

Angriff

Nun warnen Sicherheitsexperten vor der nächsten Gefahr für iCloud-User. "Dank" eines Fehlers in der Mail-App von iOS könnten Angreifer relativ einfach an die Login-Daten einzelner iCloud-User gelangen, wie der Entdecker in einem Beitrag auf Github ausführt.

Ein Proof-of-Exploit-Video zu der Lücke.
eskocz

Das Problem ergibt sich daraus, dass die Mail-App dabei versagt, potentiell gefährliche HTML-Inhalte aus Mails zu entfernen. So kann ein Angreifer bei der Anzeige eines Mails ein Login-Fenster für die iCloud präsentieren. Unbedarfte Nutzer würden hier wohl schnell ihr Passwort eintippen, ohne zu wissen, dass sie dieses damit an einen Angreifer übermitteln. Um keinen Verdacht auszulösen, kann der Angriff auch so gestaltet werden, dass er nur bei der ersten Anzeige des Mails dargestellt wird.

Ausnutzung

Mittlerweile scheint die Lücke auch bereits aktiv ausgenutzt zu werden. Als Gegenmaßnahme empfiehlt sich schlicht solche Fenster abzulehnen, und keinerlei Login-Informationen einzugeben, wenn man sich nicht sicher ist, dass die Abfrage wirklich von Apple ist. Erfahrene Nutzer werden bei dem Login-Fenster zudem gewisse Unterschiede zu einer echten Apple-Abfrage auffallen.

Tipp

Ganz allgemein empfiehlt sich die Zwei-Faktor-Authentifizierung für Apple-Accounts zu aktivieren. Dadurch ist es Dritten selbst nach dem Erhalt des Passworts nicht mehr möglich, sich einfach bei einem iCloud-Account einzuloggen.

Keine Reaktion

Laut dem Sicherheitsforscher wurde Apple bereits im Jänner über das Problem informiert, bisher habe das Unternehmen aber eine Bereinigung des Problems abgelehnt. Insofern gilt es abzuwarten, wann der iPhone-Hersteller mit einem Bugfix nachzieht. Klar ist jedenfalls, dass man dazu ein eigenes Betriebssystem-Update schnüren muss, im Gegensatz zu Googles Android kann Apple ja keine einzelnen System-Apps über seinen App Store aktualisieren. (red, 11.6.2015)