Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Tipp: Kennwort-Phishing in iOS erkennen

App-Entwickler haben nahezu volle Kontrolle über die Funktionsweise ihrer Apps und so ist es wenig verwunderlich, dass Kriminelle mithilfe von Apps vereinzelt versuchen, Apple-IDs samt Kennwort von arglosen Nutzern zu erbeuten. In den meisten Fällen erkennt Apple derartige Versuche bereits bei der App-Prüfung, doch gibt es natürlich Wege, den Phishing-Angriff gegenüber Apple zu verschleiern.


Google-Entwickler Felix Krause hat in einem Blog-Eintrag auf die Einfachheit derartiger Angriffe aufmerksam gemacht. So kann er einen optisch identischen Kennwort-Dialog mit nur 30 Zeilen Programm-Code erzeugen. Er hat aber auch einen Tipp parat, wie der Nutzer bei Zweifeln dennoch prüfen kann, ob es iOS selbst nach der Apple-ID fragt oder eine App versucht, dies abzugreifen.


Phishing-Vesuch erkennen
Dazu reicht bereits der Versuch aus, in die Home-Ansicht zu wechseln. Lässt sich nach einem einzeln Druck auf die Home-Taste die App samt Kennwort-Dialog schließen, handelt es sich um einen Phishing-Angriff, den man Apple melden sollte. Wenn hingegen nichts passiert, handelt es sich um einen legitimen Vorgang des Systems.

Kommentare

erikhuemer
erikhuemer11.10.17 09:32
Der hauptsächliche Fehler des Dialogs ist, dass einem nicht mitgeteilt wird, welche App mein Kennwort will und warum. Ich hab solche Dialoge seit einiger Zeit öfter und lehne sie halt konsequent ab…
Der Fortgang der wissenschaftlichen Entwicklung ist im Endeffekt eine ständige Flucht vor dem Staunen. Albert Einstein
+3
tranquillity
tranquillity11.10.17 09:38
Stimmt, in macOS sieht man das besser. Wobei auch das natürlich nachbaubar wäre.
+1
Sindbad11.10.17 09:47
Müsste nicht auch eine bewusste Falscheingabe helfen ?

Apple weiß, dass das Kennwort falsch eingegeben wurde und müsste nach einem 2. Versuch fragen.
Eine Phishing-Abfrage müsste jedes falsche Kennwort akzeptieren.
+10
Dirk!11.10.17 09:56
Sindbad
Müsste nicht auch eine bewusste Falscheingabe helfen ?

Apple weiß, dass das Kennwort falsch eingegeben wurde und müsste nach einem 2. Versuch fragen.
Eine Phishing-Abfrage müsste jedes falsche Kennwort akzeptieren.

Prinzipiell richtig, ABER eine schlaue Phishing-Software fragt dann einfach auch zweimal und weiß danach sogar, ob die beiden Passwörter identisch sind und sind der Nutzer nicht vertippt hat.
+9
OpDraht
OpDraht11.10.17 09:59
Sindbad
Müsste nicht auch eine bewusste Falscheingabe helfen

Nein, siehe Antwort von Dirk!. Ich kann mich aber daran erinnern dass oben als Tipp (so auch die Überschrift des Artikels) im Text etwas in Zusammenhang mit einer Home-Taste erwähnt wird.

Wahre Apple Fans mögen das Passwort jetzt immer ein Mal falsch eingeben.
+1
Sindbad11.10.17 10:18
In der Originalquelle stehen als Verhaltensempfehlungen:

- Home Button drücken: Eine echte Apple-Abfrage läuft auf einer anderen Prozessebene und ignoriert den Home-Button-Abbruch.
oder
- grundsätzlich keine Eingabe von Passwörtern in PopUps, sondern <Abbrechen>, die App "Einstellungen" öffnen und dort das Passwort eingeben.
+8
gritsch11.10.17 10:31
Zweifaktor-Auth verhindert dass mit dem abgefischten Passwort etwas angefangen werden kann.
Dass man das Passwort nicht für andere Dienste verwendet sollte inzwischen ja auch jeder wissen!
+2
Applemike
Applemike11.10.17 10:40
Ich habe wiederholt diese Passwortabfrage, seit ich die MacTechNews-App per Abo auf werbefrei geschaltet habe. Da ich aber nicht direkt sehen kann, warum und welcher Prozess die Passwortabfrage erscheinen lässt, gehe ich jetzt immer auf "Abbruch". Das Verhalten der App (werbefrei) ändert sich dadurch nicht. Also ist die Abfrage sinnlos - der MacTechNews-Support hat mir mitgeteilt, dass die Abfrage wohl von Apple zur Überprüfung der Gültigkeit des Abos generiert wird.... Nun bin ich gespannt, was passiert, wenn ich das Abo auslaufen lasse ...
+3
MetallSnake
MetallSnake11.10.17 12:15
Sindbad
In der Originalquelle stehen als Verhaltensempfehlungen:

Die stehen doch auch hier im Artikel?
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
+1
Laphroaig
Laphroaig11.10.17 13:31
Auf dem gefakten Dialog sind die Gänsefüschen nicht identisch
0
MetallSnake
MetallSnake11.10.17 14:33
Laphroaig
Auf dem gefakten Dialog sind die Gänsefüschen nicht identisch

Hat der Autor auch bemerkt aber deswegen nicht extra neue Screenshots erstellt. Die typografisch korrekten zu benutzen ist für eine App kein Problem.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
MacBlack
MacBlack11.10.17 22:59
Sindbad
In der Originalquelle stehen als Verhaltensempfehlungen:

- Home Button drücken: Eine echte Apple-Abfrage läuft auf einer anderen Prozessebene und ignoriert den Home-Button-Abbruch.
oder
- grundsätzlich keine Eingabe von Passwörtern in PopUps, sondern <Abbrechen>, die App "Einstellungen" öffnen und dort das Passwort eingeben.

Ist das denn eine Lösung für Passwort-Abfragen vor Einkäufen?
Wo sollte ich denn in diesen Fällen das Passwort in den Einstellungen eingeben
0
MetallSnake
MetallSnake12.10.17 09:17
MacBlack
Ist das denn eine Lösung für Passwort-Abfragen vor Einkäufen?
Wo sollte ich denn in diesen Fällen das Passwort in den Einstellungen eingeben

Ignorier die zweite Möglichkeit. Einfach bei so einem Popup einmal den Homebutton drücken, passiert nichts ist alles ok und du kannst das Passwort eingeben. Wird die App geschlossen handelt es sich um ein Fake und du solltest die App löschen.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
oxid
oxid12.10.17 09:32
Lässt sich nach einem einzeln Druck ....
Kennwort-Dialog schließen,...=... Dialog lediglich abbricht,
handelte es sich um einen legitimen Vorgang des Systems.

Ich verstehe diesen Satz nicht bzw. missverständlich ausgedrückt:
Das ist doch nach Aussage des Textes genau das selbe verhalten des Dialoges.

Oder ist es so zu verstehen?
Druck auf home Button App und Dialog schließt sich = phising
Druck auf home Button nur Dialog schließt sich App bleibt = legitim

Kann mir das jemand besser erklären bitte?
0
oxid
oxid12.10.17 09:36
@MetallSnake
"Ignorier die zweite Möglichkeit. Einfach bei so einem Popup einmal den Homebutton drücken, passiert nichts ist alles ok und du kannst das Passwort eingeben. Wird die App geschlossen handelt es sich um ein Fake und du solltest die App löschen."

Ah danke. Das ist einleuchtender.

Ergo:
1. homebutton drücken Dialog bleibt im Vordergrund Dialog kann nur durch drücken durch Feld "Abbruch" im Dialogfeld beendet werden
= legitim
2. Homebutton drücken App schließt und Dialog schließt
= phishing
Schlussfolgerung Richtig?
0
MacBlack
MacBlack12.10.17 10:08
oxid
@MetallSnake
"Ignorier die zweite Möglichkeit. Einfach bei so einem Popup einmal den Homebutton drücken, passiert nichts ist alles ok und du kannst das Passwort eingeben. Wird die App geschlossen handelt es sich um ein Fake und du solltest die App löschen."

Ah danke. Das ist einleuchtender.

Ergo:
1. homebutton drücken Dialog bleibt im Vordergrund Dialog kann nur durch drücken durch Feld "Abbruch" im Dialogfeld beendet werden
= legitim
2. Homebutton drücken App schließt und Dialog schließt
= phishing
Schlussfolgerung Richtig?

Genau so habe ich es verstanden.
0
MetallSnake
MetallSnake12.10.17 10:55
oxid
Ergo:
1. homebutton drücken Dialog bleibt im Vordergrund Dialog kann nur durch drücken durch Feld "Abbruch" im Dialogfeld beendet werden
= legitim
2. Homebutton drücken App schließt und Dialog schließt
= phishing
Schlussfolgerung Richtig?

richtig!
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
sb13.10.17 07:09
Ich habe "bzw. Dialog abbricht" aus dem Tipp herausgenommen. Hierbei bezog ich mich auf die Kaufvorgänge beim App Store innerhalb anderer Apps. Bei einer Kennwortabfrage darf tatsächlich mit der Home-Taste nichts passieren, um sicherzugehen, dass es vom System ist.
🎐 Sie werden häuslichen Frieden, finanzielle Sicherheit und gute Gesundheit genießen.
+1
Dirk!21.01.18 16:37
und wie macht man das auf dem iPhone X, wenn die Passwortfrage kommt und man zum Test Home drücken soll?
0
MetallSnake
MetallSnake21.01.18 21:23
Dirk!
und wie macht man das auf dem iPhone X, wenn die Passwortfrage kommt und man zum Test Home drücken soll?

vermutlich mit der Wischgeste die den Homeknopf ersetzt.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
Dirk!22.01.18 07:48
MetallSnake
Dirk!
und wie macht man das auf dem iPhone X, wenn die Passwortfrage kommt und man zum Test Home drücken soll?

vermutlich mit der Wischgeste die den Homeknopf ersetzt.

Bin mir nicht sicher, ob das in diesem Fall äquivalent ist. Man müsste herausfinden, ob modale Dialoge in Apps sich durch die Wischgeste verlassen lassen, im Vergleich zu den systemeigenen Passwortdialogen. Für mich es das jetzt erstmal nicht gegeben, dass dort auch wirklich ein Unterschied bleibt.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.