Apples Passwörter-App war fast drei Monate lang anfällig für Phishing-Angriffe

Während der ersten Monate nach Launch

MarleneKommentar schreiben zu Apples Passwörter-App war fast drei Monate lang anfällig für Phishing-Angriffe

Ansichten von Apples Passwords-App auf MacBook, iPad, iPhone und Vision Pro

Mit iOS 18 hat Apple seine eigene Passwörter-App eingeführt, die die Verwaltung von Passwörtern benutzerfreundlicher machen sollte. Wie nun bekannt wurde, war in der App zum Zeitpunkt des Launches bis zur Behebung des Problems in iOS 18.2, also für einen Zeitraum von drei Monaten, ein HTTP-Fehler enthalten, der die App anfällig für Phishing-Angriffe machte.

Zwei Experten im Bereich Cybersicherheit entdeckten den Fehler, als sie feststellten dass der App-Datenschutzbericht ihres iPhones anzeigte, dass die Passwörter-App über einen unsicheren HTTP-Verkehr in Kontakt zu 130 verschiedenen Webseiten getreten war.


Bei ihren Recherchen stellten die Experten fest, dass Passwörter sowohl Kontologos und -icons über das unsichere Protokoll abrief, als auch Seiten zum Zurücksetzen von Passwörtern.

„Dies machte den Benutzer angreifbar: Ein Angreifer mit privilegiertem Netzwerkzugang konnte die HTTP-Anfrage abfangen und den Benutzer auf eine Phishing-Website umleiten“, sagten die Experten gegenüber 9to5Mac. Weiter sagen sie: „Wir waren überrascht, dass Apple bei einer so sensiblen App nicht standardmäßig HTTPS durchgesetzt hat.“

„Außerdem sollte Apple sicherheitsbewussten Nutzern die Möglichkeit bieten, das Herunterladen von Symbolen komplett zu deaktivieren. Ich fühle mich nicht wohl dabei, dass mein Passwort-Manager ständig jede Website anpingt, für die ich ein Passwort verwalte, obwohl die Aufrufe, die Passwörter senden, keine ID enthalten.“

Zwar lassen die meisten Webseiten heute unverschlüsselte HTTP-Verbindungen zu, doch werden diese per 301-Weiterleitung auf HTTPS umgeleitet. Auch die Passwörter-App hat bereits vor dem Fix in iOS 18.2 eine solche Weiterleitung vorgenommen, auch wenn die Anfrage zunächst über HTTP gestellt wurde.

Zum Problem wird dieses Vorgehen dann, wenn man sich in öffentlichen WLAN-Netzen bewegt und Hacker die erste HTTP-Anfrage abfangen, bevor ist weitergeleitet wird. Auf diese Weise können sie den Nutzer ganz einfach auf eine Phishing-Webseite weiterleiten. In folgendem Video seht ihr, wie das funktioniert:

Problem in iOS 18.2 behoben

In iOS 18.2 wurde das Problem behoben, jedoch ohne weitere Ankündigung von Apple. Erst in dieser Woche hat Apple dazu eine Stellungnahme veröffentlicht. Ab iOS 18.2 verwendet die Passwörter-App nun standardmäßig HTTPS. Also schaut, dass ihr mindestens diese Version verwendet.

Hinweis: Dieser Artikel enthält Affiliate-Links. Bei Käufen über diese Links erhalten wir eine Provision, mit dem wir diesen Blog finanzieren. Der Kaufpreis bleibt für euch unverändert.

Anzeige

Noch mehr News

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Copyright © 2025 appgefahren.de