Altes HTTP-Protokoll verwendet
Phishing-Schwachstelle in Apples „Passwörter“-App gestopft
Mit der Veröffentlichung von iOS 18.2 hat Apple im Dezember eine gravierende Sicherheitslücke in seiner Passwortanwendung gestopft. Zuvor wurden die Daten bei der Verwendung der App teilweise ungesichert übertragen und waren somit potenziell anfällig für sogenannte Phishing-Angriffe.
Das Team um den Sicherheitsforscher Tommy Mysk hat Apple bereits im September vergangenen Jahres auf die Problematik im Zusammenhang mit der von Apple veröffentlichten und zur Standardausstattung von iOS gehörenden App „Passwörter“ aufmerksam gemacht. So wurde, wenn man ein Passwort aus der App heraus ändern wollte, die zugehörige Webseite stets über das veraltete und unsichere HTTP-Protokoll aufgerufen, anstatt den verschlüsselten und aktuellen HTTPS-Standard zu verwenden.
Für einen Angreifer bot sich so potenziell die Möglichkeit, die Aufrufe abzufangen und auf eine gefälschte Webseite umzuleiten. Für solche Manipulationen sind zwar besondere Rechte beim Netzwerkzugriff nötig, dergleichen lässt sich aber in öffentlichen Bereichen wie beispielsweise Internetcafés nicht ausschließen.
Im oben eingebetteten Video zeigen die Sicherheitsforscher das Problem sowie beispielhaft den Ablauf eines solchen Phishing-Angriffs. Apple muss sich in diesem Zusammenhang nicht nur die Kritik gefallen lassen, warum für die Korrektur ganze drei Monate benötigt wurden, sondern auch die Frage, warum Apple überhaupt das überholte Standard-HTTP-Protokoll anstelle einer verschlüsselten HTTPS-Übertragung gewählt hat.
Fehlerbehebung erst jetzt offiziell
Mit der Offenlegung der oben erwähnten Details mussten die hinter der Entdeckung stehenden Sicherheitsforscher so lange warten, weil Apple den Fehler zwar schon im Dezember behoben, den Sachverhalt bislang jedoch nicht öffentlich gemacht hat.
Am gestrigen 17. März wurde nun das Support-Dokument „About the security content of iOS 18.2 and iPadOS 18.2“ um eine entsprechende Passage ergänzt.
Alter!!!! HTTP? Wieso sieht das keiner? Wie kann das sein?
Schlechter pen test. Oder gar keiner
Ganz ruhig, ist ja behoben.
Recht hat er. Sowas darf einfach nicht passieren.
puuuhh, okay ja, da haben wir aber nochmal Glück gehabt. Gut, dass das keiner mitbekommen hat. Na dann kein Problem, einfach so weitermachen, klappt schon.
Ich glaube, es geht ihm eher darum, wie es sein kann, dass ein Technologiekonzern wie Apple, veraltete Protokolle verwendet.
Wer ändert sein PW denn, indem er erst auf die Passwort-App geht und dort dann den Schalter zum PW-Ändern drückt?
Schwachstelle, aber kein großes Risiko imho
Ähm LOL… XD
Uffff, was zum?
Das ist halt das Thema, wenn man einer Firma die eigenen Passwörter anvertraut, die Passwortmanagement nicht als Hauptaufgabe ihrer Firmenphilosophie ansehen.
Privacy war mal das Kerngeschäft von Apple – vor tim.
andere Frage, passt aber ggf. zum bugthema: bei mir klingelt das iphone, obwohl ich den Kontakt gesperrt habe. warum? es handelt sich um ein Sammelkontakt für SPAM-Nummern. Kann man zu viele Nummern eintragen?
Was funktioniert denn in dem Laden überhaupt noch?
Geld drucken
Ich kann gar nicht aufzählen wie viele Bugs ich unter iOS 18 habe… eine absolute Katastrophe…
Dumme Frage: ich war in den letzten Monaten in einem sehr autoritären Land wo solche Schwachstellen mit gewisser Wahrscheinlichkeit ausgenutzt wurden: sollte ich jetzt meine wichtigen Passwörter ändern?
ja und du brauchst dir dann keine Gedanken mehr machen.
USA?
Die USA haben deine Daten eh, wenn du auch schon früher Cloud-Backups gemacht hast, bevor diese verschlüsselbar waren.
Ich verstehe nicht was eine Änderung eines Passwortes mit HTTP zubringt haben soll? Was macht die App da?
Apple speichert deine Passwörter bei sich auf dem Computer ab. Wenn du ein PW auf deinem Gerät erstellst, hat Apple es sich selbst unverschlüsselt durchs Internet geschickt.
NEIN!!! O.o
Doch
Muss dich leider korrigieren: Nein. Apple hat KEINE Passwörter unverschlüsselt auf ihre eigenen Server geschickt.
Es geht um das Feature der Passwörter-App, mit dem du ein Passwort eines Services/Anbieters ändern kannst. Dieser Klick auf den Button bringt dich dann bequem direkt zu der entsprechenden Website – von dem Anbieter. Diese Verlinkung hat Apple fälschlicherweise über http realisiert statt direkt über https. Somit hätte ein Angreifer in demselben Netzwerk wie das Opfer, die http-Anfrage abfangen und den gesamten Passwortänderungsprozess übernehmen können, wodurch er natürlich dein altes Passwort erhalten kann.
Dummer Fehler, erfordert aber schon, dass jemand den Netzwerkzugriff hat und du genau dort das Passwort von Anbieter A ändern willst, während der Angreifer eine Phishing-Seite von Anbieter A betreibt, die du für echt hältst.
Oh
Danke :-D Darauf habe ich gewartet @martin
Danke jnh, wenn das so stimmt verstehe ich was nicht. Der Aufruf der Seite ist http, okay aber der Browser ist bei mir so eingestellt das er nur https Seiten öffnet. So mit besteht das Problem gar nicht.
So wie ich das verstanden habe, geschah das im Hintergrund ohne sichtbares Aufrufen einer Seite im Browser
@napa: Gute Frage. Das im Video dargestellte und auch einfachste Szenario ist hier, dass die http-Website, die angefragt wird, von dem Angreifer als Weiterleitung genutzt wird. Das kann er tun, da dein Browser bei der http-Seite nicht sicherstellen kann, dass sie wirklich die echte angefragte Seite von Anbieter A ist. Daraufhin wird die Anfrage dann an eine https-Seite weitergeleitet, die unter der Kontrolle des Angreifers ist – bspw. eine Kopie der offiziellen Seite von Anbieter A.
Es kommt nun darauf an, was dein Browser mit solchen http-Weiterleitungen macht. Blockiert er schon die Anfrage über http oder wartet er erst alle Weiterleitungen ab und meckert dann erst?
Ein viertel Jahr ohne fix?
Apple scheißt auf seine Kunden!
Bei Androiden sind Dinge ungefiltert. Die Zeit ist ja noch völlig im Rahmen.
Wow. Apple verkommt immer mehr zum Kindergartenverein. Und das sind nur die Dinge von denen wir wissen.
Ja sieht so aus. Und wenn das mit dem Zugriff in England bleibt, werden einige Dienstleister über England sich die Daten holen. Weil da der Weg möglich ist.
Neeeeiiiiin? Die Passwort-App hat tatsächlich die hinterlegte Domain mit HTTP aufgerufen? Unfassbar.
Leute, mal ernsthaft, die meisten Webseiten, gerade die, auf denen man sich anmelden kann, leiten heutzutage sowieso den HTTP-Verkehr automatisch an HTTPS weiter.
Und es ist auch immer eine gute Idee, vor jeder Passworteingabe zu prüfen, ob es sich um eine verschlüsselte Webseite handelt.
Das Ganze überhaupt als Schwachstelle zu bezeichnen ist fast schon lächerlich.
Übrigens: 1Password zeigt eine Warnung an, wenn die hinterlegte Domain explizit mit http:// angegeben wurde.
Du hast recht, dass eine http-Anfrage an bspw. gmail direkt an die https-Version weitergeleitet wird. Das sollten alle Anbieter tun.
Wie von mir an anderer Stelle beschrieben ist das Angriffsszenario jedoch, dass jemand in deinem Netzwerk diese Weiterleitung übernimmt und dich somit an eine eigene Phishing-Version der Website weiterleitet, um dein Passwort abzugreifen. Insofern bringt die korrekte Konfiguration der http auf https-Weiterleitung der Anbieter da nichts, da das Opfer diese nicht durchläuft.
Naja, wie gesagt, ich kontrolliere immer die URL, bevor ich irgendwo mein Passwort eingebe. Entweder leitet ein Angreifer das Opfer auf eine gefälschte HTTP-Seite, also unverschlüsselt, wo ich sowieso nie mein Passwort eingeben würde, oder der Angreifer leitet das Opfer auf eine gefälschte HTTPS-Seite um, wo dann entweder eine ganz andere URL steht oder eine Zertifikatswarnung angezeigt wird. Beides Szenarien, bei denen eigentlich jeder sofort stutzig werden sollte.