Unverschlüsselte HTTP-Verbindungen

Apples Passwords App war drei Monate lang angreifbar

Apple Security
Bildquelle: QubixStudio / Shutterstock.com
LinkedInRedditWhatsAppPocket

English Dieser Artikel ist auch auf Englisch verfügbar.

Die im Rahmen von iOS 18 neu eingeführte Apple Passwords App wies eine kritische Sicherheitslücke auf, die Nutzer über einen Zeitraum von fast drei Monaten für Phishing-Angriffe verwundbar machte. Das Problem wurde erst mit dem Update auf iOS 18.2 behoben.

Sicherheitsforschern des Teams Mysk fiel auf, dass der App-Datenschutzbericht ihres iPhones ungewöhnlich viele Verbindungen der Passwords App zu verschiedenen Websites auflistete – insgesamt 130 Webseiten wurden über unverschlüsselte HTTP-Verbindungen kontaktiert. Bei genauerer Untersuchung stellten die Forscher fest, dass die App nicht nur Account-Logos und Icons über HTTP lud, sondern auch standardmäßig Passwort-Reset-Seiten über das unverschlüsselte Protokoll öffnete.

Anzeige

„Ein Angreifer mit privilegiertem Netzwerkzugriff könnte die HTTP-Anfrage abfangen und den Nutzer auf eine Phishing-Website umleiten“, erklärten die Mysk-Forscher gegenüber 9to5Mac.

Gefahr in öffentlichen Netzwerken

Besonders problematisch war die Sicherheitslücke in öffentlichen WLAN-Netzwerken wie in Cafés, Flughäfen oder Hotels. Dort hätte ein Angreifer im gleichen Netzwerk die ursprüngliche HTTP-Anfrage abfangen können, bevor die übliche Weiterleitung auf HTTPS erfolgte. Durch Manipulation des Datenverkehrs wäre es möglich gewesen, Nutzer auf täuschend echt aussehende Phishing-Seiten umzuleiten, wie Mysk in einer Demonstration mit einer gefälschten Microsoft-Anmeldeseite zeigte.

Obwohl Apple das Problem bereits im Dezember 2023 mit iOS 18.2 behoben hat, wurde die Schwachstelle erst jetzt öffentlich dokumentiert. Die Passwords App verwendet nun standardmäßig HTTPS für alle Verbindungen.

Anzeige

„Wir waren überrascht, dass Apple HTTPS nicht standardmäßig für eine so sensible App erzwungen hat“, erklärten die Sicherheitsforscher. „Zusätzlich sollte Apple eine Option für sicherheitsbewusste Nutzer anbieten, das Herunterladen von Icons komplett zu deaktivieren.“

Fazit

Apple-Nutzer sollten sicherstellen, dass ihre Geräte mindestens auf iOS-Version 18.2 aktualisiert sind, um vor dieser Sicherheitslücke geschützt zu sein. Der Vorfall unterstreicht die Bedeutung verschlüsselter Verbindungen für sicherheitskritische Anwendungen – insbesondere für Passwort-Manager, die naturgemäß hochsensible Daten verwalten.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

EU-Kommission: Google benachteiligt App-Entwickler
IT-Sicherheit lassen sich die meisten nur ein paar Euro kosten
Zukunft des Online-Handels: e-Commerce Day 2025
HP rüstet Firmendrucker gegen Quantenangriffe auf
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.