Sicherheitslücke in iOS 8.3 kann iCloud-Login auslesen

Unter iOS 8.3 ist eine neue Sicherheitslücke aufgetaucht, die es Hackern ermöglicht, Nutzername und Passwort des iCloud-Kontos auszuspionieren. Es gibt aber Sicherheitsvorkehrungen, mit denen man sich schützen kann.

Die Sicherheitslücke ist in der Mail-App aufgetaucht, die schädlichen HTML-Code nicht komplett herausfiltert und so eine gefälschte iCloud-Login-Maske durchlässt. Diese gefälschte Login-Maske lässt sich per Mail an iPhone- und iPad-Besitzer verschicken. Gibt der Nutzer dann seine Nutzerdaten ein, lassen sich diese abfangen. Hacker können sich somit Zugang zur iCloud verschaffen.

Auf Github hat der Sicherheitsforscher Jansoucek ein Proof-of-Concept hochgeladen, um den Hack beispielhaft zu beschreiben. In dem folgenden Video ist der Vorgang ebenfalls zu sehen:

Diese gefakete iCloud-Login-Maske lässt sich aber für aufmerksame Nutzer durchaus leicht erkennen. Apples Tastatur stellt bei der gefälschten Login-Maske zum Beispiel nicht die Wortvorhersage bzw. -vervollständigung ab, wie es bei offiziellen Login-Masken der Fall ist.

Eine weitere Sicherheitsmaßnahme ist die Zwei-Faktor-Authentifizierung. Ist diese aktiviert, reichen Nutzername und Passwort alleine nicht mehr aus, um auf ein Nutzerkonto zuzugreifen.

Jansoucek hat erklärt, dass er Apple bereits im Januar über die Sicherheitslücke informiert hat. Da Apple bisher nicht reagiert und die Lücke gepatcht hat, veröffentlichte er nun das Proof-of-Concept, um auf die Gefahr aufmerksam zu machen. Hoffentlich erhöht dies den Druck auf Apple, die Lücke mit einem Update zu schließen.

Quelle: GitHub (via MacLife)

Image „iOS 8.3 Mail.app attack“ by eskocz via Youtube Screenshot

Daniel Kuhn

Daniel Kuhn leitet seit Juni 2015 die Blogs Appleunity.de und Android4you.de. Ansonsten schreibt Wahl-Berliner mit Leib und Seele als freier Journalist für Netzpiloten.de und Androidmag.de.

More Posts - Website - Twitter - Facebook - LinkedIn - Google Plus