Fehler sorgt für Klaumöglichkeit von iCloud-Kennwörtern

(Bild: ZDnet.de)

In der iOS-Mail-App gibt es ein Sicherheitsproblem, mit dem Hacker durchaus in der Lage sein könnten, die iCloud-Kennwörter der Nutzer abzuzweigen. E-Mails können Html-Inhalte von extern laden - und beispielsweise die Anmeldeseite von iCloud nachahmen, so ein Sicherheitsexperte.

Jan Soucek hat nach einem Bericht von The Register eine Sicherheitslücke in der Mail-App von iOS entdeckt, die es Angreifern ermöglicht, mit einer E-Mail ein Stückchen HTML von einem externen Server nachzuladen, der dann zum Beispiel die Anmeldeseite von iTunes öffnet – nur eben nicht die echte, sondern eine, die die Hacker selbst ins Netz gestellt haben, um wehrlose Opfer um ihre Kennwörter zu berauben.

Der HTML-Inhalt ersetze die eigentliche E-Mail-Nachricht, heißt es weiter in dem Bericht. Obwohl JavaScript in der Web-View-Komponente der Mail-App deaktiviert sei, sei es möglich, funktionierende Anmeldeseiten mit HTML und CSS zu erstellen. Nutzer der Mail-App von iOS sähen nur ein Pop-up, das sich nicht von einer regulären Abfrage der iCloud-Anmeldedaten unterscheide.

Dem Forscher zufolge ist Apple die Anfälligkeit seit Januar bekannt. Das Unternehmen habe seitdem aber nicht reagiert. Keines der nach iOS 8.1.2 ausgelieferten Updates enthalte einen Fix. “Deswegen habe ich mich entschlossen, den Proof-of-Concept-Code hier zu veröffentlichten”, schreibt Soucek in einem Eintrag auf Github.

Da die Sicherheitslücke das Einschleusen von beliebigen HTML-Inhalten erlaubt, sind nicht nur Phishing-Angriffe auf iCloud möglich. Das von Soucek bereitgestellte Tool lässt Hacker Anmeldeseiten beliebiger anderer Dienste fälschen und für Phishing-Kampagnen benutzen.

Erst Anfang der Woche wurde bekannt, dass der Promi-iCloud-Hack im vergangenen Jahr mindestens 572 iCloud-Konten betraf. Ein bereits im vergangenen Jahr verhafteter Tatverdächtiger griff zwischen 31. Mai 2013 und 31. August 2014 in Summe 3263-mal auf iCloud-Konten zu.

Wie er an die iCloud-Anmeldedaten gekommen ist, ist weiter unklar. Mehrere Opfer sagten der Polizei demnach, sie seien im Zeitraum vor Veröffentlichung der Fotos einmal aus dem eigenen iCloud-Konto ausgesperrt gewesen. Andere berichten, auf Phishing-Nachrichten hereingefallen zu sein und Namen und Passwort preisgegeben zu haben.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising