{"id":375912,"date":"2025-03-19T15:52:09","date_gmt":"2025-03-19T14:52:09","guid":{"rendered":"https:\/\/www.appgefahren.de\/?p=375912"},"modified":"2025-03-19T12:53:04","modified_gmt":"2025-03-19T11:53:04","slug":"apples-passwoerter-app-war-fast-drei-monate-lang-anfaellig-fuer-phishing-angriffe","status":"publish","type":"post","link":"https:\/\/www.appgefahren.de\/apples-passwoerter-app-war-fast-drei-monate-lang-anfaellig-fuer-phishing-angriffe-375912.html","title":{"rendered":"Apples Passw\u00f6rter-App war fast drei Monate lang anf\u00e4llig f\u00fcr Phishing-Angriffe"},"content":{"rendered":"

\"Ansichten<\/a><\/p>\n

Mit iOS 18 hat Apple seine eigene Passw\u00f6rter-App eingef\u00fchrt, die die Verwaltung von Passw\u00f6rtern benutzerfreundlicher machen sollte. Wie nun bekannt wurde, war in der App zum Zeitpunkt des Launches bis zur Behebung des Problems in iOS 18.2, also f\u00fcr einen Zeitraum von drei Monaten, ein HTTP-Fehler enthalten, der die App anf\u00e4llig f\u00fcr Phishing-Angriffe machte.<\/p>\n

Zwei Experten im Bereich Cybersicherheit<\/a> entdeckten den Fehler, als sie feststellten dass der App-Datenschutzbericht ihres iPhones anzeigte, dass die Passw\u00f6rter-App \u00fcber einen unsicheren HTTP-Verkehr in Kontakt zu 130 verschiedenen Webseiten getreten war.<\/p>\n

Bei ihren Recherchen stellten die Experten fest, dass Passw\u00f6rter sowohl Kontologos und -icons \u00fcber das unsichere Protokoll abrief, als auch Seiten zum Zur\u00fccksetzen von Passw\u00f6rtern.<\/p>\n

\u201eDies machte den Benutzer angreifbar: Ein Angreifer mit privilegiertem Netzwerkzugang konnte die HTTP-Anfrage abfangen und den Benutzer auf eine Phishing-Website umleiten\u201c, sagten die Experten gegen\u00fcber 9to5Mac. Weiter sagen sie: \u201eWir waren \u00fcberrascht, dass Apple bei einer so sensiblen App nicht standardm\u00e4\u00dfig HTTPS durchgesetzt hat.\u201c<\/p>\n

\n

\u201eAu\u00dferdem sollte Apple sicherheitsbewussten Nutzern die M\u00f6glichkeit bieten, das Herunterladen von Symbolen komplett zu deaktivieren. Ich f\u00fchle mich nicht wohl dabei, dass mein Passwort-Manager st\u00e4ndig jede Website anpingt, f\u00fcr die ich ein Passwort verwalte, obwohl die Aufrufe, die Passw\u00f6rter senden, keine ID enthalten.\u201c<\/p>\n<\/blockquote>\n

Zwar lassen die meisten Webseiten heute unverschl\u00fcsselte HTTP-Verbindungen zu, doch werden diese per 301-Weiterleitung auf HTTPS umgeleitet. Auch die Passw\u00f6rter-App hat bereits vor dem Fix in iOS 18.2 eine solche Weiterleitung vorgenommen, auch wenn die Anfrage zun\u00e4chst \u00fcber HTTP gestellt wurde.<\/p>\n

Zum Problem wird dieses Vorgehen dann, wenn man sich in \u00f6ffentlichen WLAN-Netzen bewegt und Hacker die erste HTTP-Anfrage abfangen, bevor ist weitergeleitet wird. Auf diese Weise k\u00f6nnen sie den Nutzer ganz einfach auf eine Phishing-Webseite weiterleiten. In folgendem Video seht ihr, wie das funktioniert:<\/p>\n