Gravierende Sicherheitslücke in Apples Passwort-App aufgedeckt

19.03.2025

Die Lücke wurde mittlerweile geschlossen, Nutzer sollten unbedingt sicherstellen, das neue iOS zu verwenden.

Apple hat mit iOS 18 erstmals eine eigene Passwort-App eingeführt. Dort sind sämtliche Passwörter für Online-Dienste und für WLAN-Netzwerke sowie die Passkeys hinterlegt. Entsprechend sicherheitskritisch ist die Anwendung für Nutzerinnen und Nutzer.

Wie nun aufgedeckt wurde, war die App allerdings monatelang anfällig für Phishing-Angriffe. Das haben Sicherheitsforscher vom Unternehmen Mysk entdeckt, wie 9to5mac berichtet.

➤ Mehr lesen: iOS 19: Diese 5 Dinge kommen auf iPhone-Nutzer zu

Unverschlüsselt

Die Forscher fanden über Apples App-Datenschutzbericht heraus, dass die Passwörter-App 130 Webseiten über das unsichere HTTP-Protokoll anstatt HTTPS kontaktiert hatte. Unter anderem wurden so Profilbilder von Konten sowie Icons abgerufen. Auch Passwort-Zurücksetzen-Webseiten wurden standardmäßig unverschlüsselt geöffnet.

„Das machte den Benutzer angreifbar: Ein Angreifer mit privilegiertem Netzwerkzugriff konnte die HTTP-Anfrage abfangen und den Benutzer auf eine Phishing-Website umleiten“, erklärte Mysk gegenüber 9to5Mac. In dem folgenden Video demonstrieren die Forscher die Attacke.

„Wir waren überrascht, dass Apple HTTPS für eine so sensible App nicht standardmäßig erzwingt“, erklärt Mysk. Die Schwachstelle wurde an Apple gemeldet und mit iOS 18.2 behoben. Erst danach gingen die Sicherheitsforscher mit ihren Erkenntnissen an die Öffentlichkeit.

Nutzerinnen und Nutzer sollten also unbedingt sicherstellen, auf das aktuelle iOS aktualisiert zu haben, um vor Phishing-Angriffen in der Passwort-App geschützt zu sein. Apple beschreibt den Fix in diesem Dokument, das kürzlich entsprechend aktualisiert wurde.

➤ Mehr lesen: iPhone 16e im Test: Apple hat keine Konkurrenz

Gefährliche Umleitung

Die meisten Webseiten erlauben heute zwar HTTP, leiten aber per 301 auf HTTPS um. Das ist prinzipiell sicher, bietet aber auch Raum für Manipulation. Ein Angreifer, der sich im selben Netzwerk befindet, könnte die HTTP-Anfrage abfangen und die Nutzerinnen und Nutzer dann umleiten. Etwa auf eine nachgebaute Anmeldemaske, die dann die Nutzerdaten abfängt.