Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iOS 18.2 schließt kritische Sicherheitslücke der Passwords-App – doch warum so spät?

Apple hat kürzlich eine kritische Sicherheitslücke in seiner mit iOS 18 eingeführten Passwords-App behoben. Über einen Zeitraum von drei Monaten waren Nutzer potenziell Phishing-Angriffen ausgesetzt, bevor das Unternehmen mit dem Update auf iOS 18.2 im Dezember letzten Jahres reagierte. Die Schwachstelle betraf die Art und Weise, wie die Passwords-App Logos und Icons für gespeicherte Passwörter abruft. Anstatt gesicherte HTTPS-Verbindungen zu nutzen, wurden diese Elemente über unverschlüsselte HTTP-Anfragen geladen. Dies ermöglichte es Angreifern, die sich im selben Wi-Fi-Netzwerk wie der Nutzer befanden, diese Anfragen abzufangen und den Nutzer auf gefälschte Phishing-Websites umzuleiten, um sensible Informationen wie Login-Daten zu stehlen.


Spätes Eingreifen von Apple
Apples Sicherheits-Hinweise zu iOS 18.2 beschrieben den Fehler wie folgt: "Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise den Netzwerkdatenverkehr ändern. Dieses Problem wurde durch die Verwendung von HTTPS beim Senden von Informationen über das Netzwerk behoben." Die Cybersecurity-Experten des Unternehmens Mysk hatten die Schwachstelle bereits im September 2024 entdeckt und an Apple gemeldet. Trotz der Schwere des Problems dauerte es bis zur Veröffentlichung von iOS 18.2 im Dezember, bis eine Lösung implementiert wurde. Warum Apple diese gravierende Sicherheitslücke nicht früher behoben hat, bleibt unklar. Das Unternehmen hat sich dazu bislang nicht geäußert.


Auswirkungen auf die Nutzer
Während der drei Monate, in denen die Schwachstelle bestand, waren Nutzer besonders in öffentlichen Wi-Fi-Netzwerken wie Cafés, Flughäfen oder Hotels gefährdet. Wie viele tatsächlich von Phishing-Attacken betroffen waren, ist unklar – laut einem kürzlich veröffentlichten Video von Mysk war die potenzielle Gefahr jedoch erheblich.

Nutzer, die noch nicht auf iOS 18.2 oder eine neuere Version aktualisiert haben, sollten dies umgehend tun, um sicherzustellen, dass ihre Passwords-App sicher ist.
macOS 15.5 ist erschienen
macOS 15.5 ist erschienen
Kurz: WhatsApp erhält Nutzernamen +++ Apple aktiviert das WWDC25-Hashmoji auf X
Kurz: WhatsApp erhält Nutzernamen +++ Apple akt...
TechTicker
TechTicker
„iHostage“: Netflix-Drama erzählt Geiselnahme im Apple Store Amsterdam nach
„iHostage“: Netflix-Drama erzählt Geiselnahme i...
iOS 19: Systemvoraussetzungen geleakt?
iOS 19: Systemvoraussetzungen geleakt?
Kurz "Severance" könnte zwei Spin-offs erhalten +++ eSIM-Transfer von iOS auf Android wird wohl einfacher
Kurz "Severance" könnte zwei Spin-offs erhalten...
Apple-Legende Bill Atkinson gestorben
Apple-Legende Bill Atkinson gestorben
Flugtickets unter iOS 26
Flugtickets unter iOS 26

Kommentare

FlyingSloth
FlyingSloth20.03.25 11:25
Ganz nach dem Motto “Ist der Ruf erst ruiniert, pfuscht es sich ganz ungeniert”.

Schon sehr peinlich, dass der Fehler so lange nicht behoben wurde, wo Apple die App doch mit großem Tam Tam angekündigt hat. Und obendrein noch bei einer Passwort App.
Fly it like you stole it...
+6
Pixelmeister20.03.25 11:50
Nachdem auch dieser Fehler behoben wurde, kann ich ja vielleicht bald mal auf iOS 18 updaten. Ich warte aber noch auf Behebung der IMAP-Mail-Probleme.
-2
Nebula
Nebula20.03.25 12:02
Irgendwie verstehe ich das nicht ganz. Es könnte doch lediglich vom MITM ein anderes Icon ausgeliefert werden oder die umgeleitete URL trackt was. Wie soll durch das Laden des Icons von einer Phishing-Seite ein direktes Problem ergeben. Oder wird die URL in der Passwörter-App ersetzt?

So ein Fehler geht natürlich gar nicht bei einer Passwortverwaltung, aber wenn ich es richtig verstanden habe, bestand keine akute Bedrohung.
»Wir waren schon immer schamlos darin, großartige Ideen zu stehlen.« – Steve Jobs
-2
esc
esc20.03.25 12:31
Kann halt passieren, wenn man ständig das ganze OS aktualisieren muss, wenn in einer App ein Fehler entdeckt wird.
0
Marcel Bresink20.03.25 12:35
Nebula
Wie soll durch das Laden des Icons von einer Phishing-Seite ein direktes Problem ergeben.

Der böswillige Server kann beim Laden des Icons um eine Authentifizierung bitten. Dann bekommt er automatisch Benutzername und Kennwort für den "richtigen" Server geliefert, weil nicht geprüft wird, ob er tatsächlich mit diesem Server identisch ist.
+5
don.redhorse20.03.25 12:56
Aber was soll das mit dem WLAN zu tun haben? Wer ernsthaft Sicherheitskritische Anwendungen in einem OFFENEN WLAN verwendet hat noch ganz andere Probleme. Also entweder ist man in einem sicheren Netzwerk, oder benutzt VPN in ein sicheres Netzwerk. Aber ich nutze bestimmt keine Anmeldung über das Web, wenn ich in einem fremden, oder am besten noch offenem WLAN bin. Also im Hotel etc. benutze ich immer VPN oder mache eben einen Hotspot für mein MBA auf.
+2
Nebula
Nebula20.03.25 13:23
Marcel Bresink
Der böswillige Server kann beim Laden des Icons um eine Authentifizierung bitten. Dann bekommt er automatisch Benutzername und Kennwort für den "richtigen" Server geliefert, weil nicht geprüft wird, ob er tatsächlich mit diesem Server identisch ist.

D.h. einige Server liefern nicht mal ein Favicon ohne Authentifizerung aus und die Passwörter-App nutzt heimlich die Zugangsdaten, um ans vermeintliche Icon zu kommen? Das ist doch grundsätzlich ein Design-Fail.
»Wir waren schon immer schamlos darin, großartige Ideen zu stehlen.« – Steve Jobs
+3
Old Archibald Yates20.03.25 15:18
Und nur noch einmal zur Erinnerung: Der Bug spielte ja nicht nur eine Rolle bei der Verwendung der Passwörter-App, sondern bei jedem Programm, das Apples Passwörter integriert hat, wie hier im Forum am Beispiel von MoneyMoney diskutiert wurde: (in MoneyMoney wurde diese Integrierung deshalb wieder entfernt: ).
+1
MacTaipan20.03.25 15:52
Und dann braucht es nochmal drei Monate, bis eine Story draus wird.
0
Dunnikin
Dunnikin20.03.25 16:03
Ich nutze aus gutem Grund keine fremden WLAN, sondern ausschließlich Mobilfunk.

Unterwegs ist das MBP per iPhone online, auch das MBP wird niemals über fremde WLAN genutzt.

Da mein Mobilfunk in ganz Europa ohne Volumen und Drossel ist, ist das auch kein Problem.
+3
Marcel Bresink20.03.25 16:51
Nebula
D.h. einige Server liefern nicht mal ein Favicon ohne Authentifizerung aus und die Passwörter-App nutzt heimlich die Zugangsdaten, um ans vermeintliche Icon zu kommen?

Der Angreifer im lokalen Netz hat einen Web-Server absichtlich so böswillig aufgesetzt, dass dieser Server ein Symbol anstelle des eigentlichen Servers ausliefert und gleichzeitig eine Authentifizierung für diesen Zugriff anfordert.
0
Nebula
Nebula20.03.25 18:35
Wo erfolgt denn die Authentifizierungsanfrage? In der Passwörter-App? Ich stehe immer noch auf dem Schlauch.

Ist das so?
  • Ich lege einen Passwort-Eintrag für mactechnews.de an.
  • Die App will sich das Icon von der Domain holen.
  • Ein MITM fängt das ab und liefert andere Inhalte mit Authentifiertungsanfrage aus.
  • Was passiert nun?
  • → A. Die Passwörter-App beantwortet die Anfrage automatisch mit den hinterlegten Zugangsdaten.
  • → B. Ich bekomme in Passwörter einen Anfrage-Dialog
  • → C. Safari geht auf und leitet mich auf die Phishing-Seite
»Wir waren schon immer schamlos darin, großartige Ideen zu stehlen.« – Steve Jobs
0
sudoRinger
sudoRinger20.03.25 22:50
Pixelmeister
Nachdem auch dieser Fehler behoben wurde, kann ich ja vielleicht bald mal auf iOS 18 updaten. Ich warte aber noch auf Behebung der IMAP-Mail-Probleme.
Gab es den Fehler erst ab iOS 18?
Es gab zwar vorher keine eigenständige App, aber die gleiche App war über die Einstellungen erreichbar und konnte über eine URL direkt geöffnet werden.
0
Pixelmeister23.03.25 01:08
sudoRinger
Pixelmeister
Nachdem auch dieser Fehler behoben wurde, kann ich ja vielleicht bald mal auf iOS 18 updaten. Ich warte aber noch auf Behebung der IMAP-Mail-Probleme.
Gab es den Fehler erst ab iOS 18?
Der erste Satz des Artikels legt das nahe.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.