Phishing-Schwachstelle in Apples „Passwörter“-App gestopft

Mit der Veröffentlichung von iOS 18.2 hat Apple im Dezember eine gravierende Sicherheitslücke in seiner Passwortanwendung gestopft. Zuvor wurden die Daten bei der Verwendung der App teilweise ungesichert übertragen und waren somit potenziell anfällig für sogenannte Phishing-Angriffe.

Das Team um den Sicherheitsforscher Tommy Mysk hat Apple bereits im September vergangenen Jahres auf die Problematik im Zusammenhang mit der von Apple veröffentlichten und zur Standardausstattung von iOS gehörenden App „Passwörter“ aufmerksam gemacht. So wurde, wenn man ein Passwort aus der App heraus ändern wollte, die zugehörige Webseite stets über das veraltete und unsichere HTTP-Protokoll aufgerufen, anstatt den verschlüsselten und aktuellen HTTPS-Standard zu verwenden.

Für einen Angreifer bot sich so potenziell die Möglichkeit, die Aufrufe abzufangen und auf eine gefälschte Webseite umzuleiten. Für solche Manipulationen sind zwar besondere Rechte beim Netzwerkzugriff nötig, dergleichen lässt sich aber in öffentlichen Bereichen wie beispielsweise Internetcafés nicht ausschließen.

Im oben eingebetteten Video zeigen die Sicherheitsforscher das Problem sowie beispielhaft den Ablauf eines solchen Phishing-Angriffs. Apple muss sich in diesem Zusammenhang nicht nur die Kritik gefallen lassen, warum für die Korrektur ganze drei Monate benötigt wurden, sondern auch die Frage, warum Apple überhaupt das überholte Standard-HTTP-Protokoll anstelle einer verschlüsselten HTTPS-Übertragung gewählt hat.

Fehlerbehebung erst jetzt offiziell

Mit der Offenlegung der oben erwähnten Details mussten die hinter der Entdeckung stehenden Sicherheitsforscher so lange warten, weil Apple den Fehler zwar schon im Dezember behoben, den Sachverhalt bislang jedoch nicht öffentlich gemacht hat.

Am gestrigen 17. März wurde nun das Support-Dokument „About the security content of iOS 18.2 and iPadOS 18.2“ um eine entsprechende Passage ergänzt.