Entwickler zeigt, wie einfach Passwort-Phishing in iOS ist

Um an das Apple-ID-Passwort von Nutzern zu kommen, müssten Angreifer eigentlich nur fragen, schreibt der Entwickler Felix Krause in seinem Blog. Er kritisiert, dass Apple bei seinem mobilen Betriebssystem iOS nach wie vor mit Pop-ups nach Passwörtern fragt. Das geschieht etwa nach Updates des Betriebssystems oder wenn Nutzer längere Zeit offline waren.

Leicht manipulierbar

Apple-Nutzer seien es gewöhnt, ihre Apple-ID-Passwörter auf Nachfrage in das Pop-up einzugeben. Solche Abfragen würden aber nicht nur am Lock- oder Home-Screen sondern auch in Apps aufscheinen, wenn diese etwa Zugang zur iCloud benötigen, schreibt Krause. Böswillige App-Entwickler könnten eine solche Pop-up-Abfrage leicht fälschen. Apple bringe in seinem App Store zwar rigide Kontrollmechanismen zum Einsatz, der Code für ein solches Pop-up könne aber auch nachträglich eingefügt werden. Nutzer könnten nicht erkennen, ob die Abfrage von der App oder von Apple komme, kritisiert Krause.

Krause fordert Apple auf, die Abfrage des Apple-ID-Passworts nicht mehr in einem Pop-up durchzuführen, sondern die Nutzer in die Systemeinstellungen weiterzuleiten. Außerdem sollte in Dialogboxen in Apps deutlich gekennzeichnet sein, ob die Abfrage von der App oder vom System kommt, rät der Entwickler.