Wenn man an die Login-Daten einer Apple-ID kommen möchte, dann muss man nur nett danach fragen – diese These vertritt der Entwickler Felix Krause und hat ein Proof-of-Concept veröffentlicht, das mit iOS-Bordmitteln einen Login-Bildschirm nachstellt, der dem Apple-Original zum Verwechseln ähnlich sieht.
Phishers Phritze…
Einfach nett fragen und schon bekommt man die Login-Daten. Es kann so leicht sein, seinen Nutzern das Passwort für empfindliche Dienste aus dem Kreuz zu leiern. Felix Krause hat eine Demo veröffentlicht, die zeigt, wie einfach das möglich ist. In der Demo stellt er eine Original-Login-Aufforderung von Apple einem Fake aus seiner Feder gegenüber – für den Laien ist es unmöglich, zu unterscheiden, ob es sich um eine legitime Aufforderung oder einen Phishing-Angriff handelt. Da gleichzeitig auch iOS öfter mal – selbst ohne auf den ersten Blick erkennbaren Grund – nach dem Passwort fragt, sind Nutzer so erzogen, das Passwort einfach einzugeben und sich nichts weiter dabei zu denken.
Erreicht wird das mit der Komponente UIAlertController. Man müsse dafür nicht einmal Zauberei anwenden, tatsächlich ist die Verwendung sogar in der Apple-Dokumentation erklärt. Man müsse als Phisher nun lediglich noch den Schritt gegen und den Text selbst setzen.
Nun könnte man meinen, dass es eine Hürde sei, dass man als Entwickler die Apple-ID nicht auslesen könne, die aber in der Dialogbox erscheint. Falsch gedacht: Es gibt auch Dialoge, von Apple, die ohne die E-Mail-Adresse der Apple-ID auskommen. Hier wird neutral einfach das Passwort abgefragt.
Krause empfiehlt jedem Nutzer, die Authentifizierung in zwei Schritten zu aktivieren, denn die kann in den meisten Fällen auch dann noch Schlimmeres verhindern, wenn ein Angreifer das Passwort kennt.