Kann ich dem Dialog „Im iTunes Store anmelden“ auf meinem iPhone vertrauen?

Der Entwickler Felix Krause ermahnt die Benutzer, vor Apps auf der Hut zu sein, die Passwörter stehlen, indem sie den Benutzer über gefälschte Anmeldedialoge, die als rechtmäßige Anfragen des iOS-Betriebssystems geta sind, zur Eingabe seines geheimen Passworts veranlassen. Das Problem besteht darin, dass ein externer App-Entwickler mit nur wenigen Codezeilen eine Passwortabfrage erzeugen kann, die genauso aussieht wie eine echte Passwortabfrage vom iOS.

rnErschwerend kommt laut Krause hinzu, dass iOS-Benutzer regelmäßig ganz legitim zur Eingabe ihres Passworts aufgefordert werden können – zum Beispiel zur Installation einer Betriebssystemaktualisierung:

rn„Dies führt dazu, dass die Benutzer daran gewöhnt sind, ihr Passwort für ihre Apple-ID einzugeben, wenn sie vom iOS dazu aufgefordert werden. Diese Popup-Fenster werden jedoch nicht nur auf dem Sperrbildschirm und dem Home-Bildschirm angezeigt, sondern auch innerhalb von Apps, beispielsweise, wenn sie auf iCloud, GameCenter oder In-App-Purchase zugreifen möchten.“

rn„Dies kann mühelos von einer beliebigen App missbraucht werden, einfach durch Anzeigen eines UIAlertController-Popup-Fensters, das genauso aussieht wie das Systemdialogfeld.“

rnDas ist also das Problem! Wie sollen Sie als Benutzer nun erkennen können, welches ein echtes Popup-Fenster vom Betriebssystem ist und welches gefälscht wurde, um Ihr Passwort zu stehlen?

rnEine Möglichkeit besteht darin, es den Benutzern zu ermöglichen, ihre iOS-Passwortabfragen individuell zu gestalten.

rnDieser Ansatz wird von einigen Online-Banking-Anwendungen verfolgt, die die Kontoinhaber dazu auffordern, eine eigene Willkommensnachricht zu wählen, die dann zusammen mit dem Anmeldedialog angezeigt wird. Auf diese Weise wird es weniger wahrscheinlich, dass jemand seine Anmeldedaten in eine bösartige App eingibt.

rnSie können also das übliche „Hallo“ oder „Willkommen“ bei der Anmeldung in eine Begrüßung ändern, auf die ein Hacker nicht so leicht kommt, wie beispielsweise „Sei gegrüßt, edler Ritter!“ oder „Runkelrübe“.

rnWenn dann nicht die erwartete Begrüßungsnachricht kommt, wissen Sie sofort, dass hier etwas nicht stimmt und ein Phishing-Versuch im Gange ist.

rnAlternativ können Sie bei einigen Online-Banking-Anwendungen die Anmeldeseite mit einem persönlichen Foto versehen. Wenn dieses Foto nicht angezeigt wird (oder nicht das von Ihnen hochgeladene Foto erscheint), sollten Sie Ihre Anmeldedaten auf gar keinen Fall eingeben.

rnWäre es nicht möglich, dass iOS einen ähnlichen Mechanismus implementiert?

rnDie gute Nachricht: Wie Krause dem Online-Portal The Register berichtet hat, gibt es anscheinend keine Meldungen darüber, dass diese Phishing-Technik von Apps „in freier Wildbahn“ verwendet worden ist.

rnIch finde es allerdings bedenklich, dass wir uns darauf verlassen müssen, dass Apple alle kriminellen Apps, die diesen Phishing-Trick versuchen, abfängt, bevor sie in den offiziellen App-Store eingestellt werden. Würden wir uns nicht alle etwas sicherer fühlen, wenn das Betriebssystem selbst es den Cyberkriminellen schwerer machen würde, täuschend ähnliche Passwortabfragen zu erstellen?

rn