Wie kommt man am schnellsten an das Passwort von iPhone- und iPad-Usern? Diese Frage wirft der Softwareentwickler Felix Krause in einem aktuellen Blogeintrag auf, und er hat auch eine verblüffend simple Antwort darauf: Man fragt einfach freundlich.

Phishing leicht gemacht

iOS ermöglicht es nämlich jedem Entwickler, Passwortabfragen zu generieren, die jenen von Apple bis ins kleinste Detail gleichen. Krause demonstriert dies anhand einer von ihm geschriebenen Phishing-App, die einen Dialog liefert, der vorgibt, zum iTunes Store zu gehören und zur Autorisierung die Eingabe des zur eigenen Apple ID gehörigen Passworts zu verlangen.

In Wirklichkeit schnappt sich die App das Passwort für den Apple-Account und könnte damit in der Folge den betreffenden Account übernehmen. Da iOS-User gewohnt sind, immer wieder einmal ihr Passwort für die Apple ID frisch eingeben zu müssen, würde so eine Abfrage wohl auch nicht sonderlich überraschend kommen, zeigt sich Krause davon überzeugt, dass der Trick bei den meisten funktionieren würde.

App-Store-Prüfung

Um einen solchen Angriff zu starten, müsste ein Entwickler natürlich eine App entsprechend präparieren und an Apples Sicherheitsprüfung vorbei in den App Store bringen. Aber auch darin sieht Krause nur bedingt eine Hürde: Der Entwickler könnte den Code nachträglich einbringen, etwa indem er von außen nachgeladen oder erst nach einer gewissen Zeit aktiviert wird – zumal so ein Pop-up auch wirklich sehr simpel zu erstellen sei. Solche Methoden sind auch nicht ganz ungewöhnlich. So hatte etwa Uber die Checks von Apple vor einigen Jahren auf einem ähnlichen Weg umgangen, um iPhones eindeutig zu identifizieren – obwohl Apple eben das untersagt.

Lösungsansatz

Allerdings hat der Entwickler auch Ratschläge für Apple parat, mit denen sich das Problem recht einfach beseitigen ließe. So könnte iOS echte Abfragen nach dem Apple-ID-Passwort künftig in die Systemeinstellungen weiterleiten, die man zuverlässig unter der eigenen Kontrolle habe. Zugleich sei es aber auch prinzipiell problematisch, dass iOS immer wieder – und für viele User nicht nachvollziehbar, warum – nach dem Passwort für die Apple ID frage. Dies trainiere dem Nutzer das Verhalten an, in solche Dialoge ohne groß Nachzudenken sein Passwort einzugeben.

Zweiter Faktor

Davon abgesehen sei noch erwähnt, dass natürlich auch eine andere Maßnahme gegen Phishing-Angriffe schützt: die Aktivierung der Zwei-Faktor-Authentifizierung. Immerhin reicht einem Angreifer dann nicht mehr das Passwort, um in den Account zu gelangen. (apo, 11.10.2017)