Apple behebt kritische Sicherheitslücke in iOS
Mit iOS 18.2 gefixt: Apples Passwörter-App war monatelang angreifbar
Eine Sicherheitslücke in iOS 18 machte Phishing-Angriffe auf die Passwörter-App möglich. Erst nach Monaten wurde der Bug behoben. Jetzt gibt es die Details.
Mit der Veröffentlichung von iOS 18 im September 2024 führte Apple eine neue Passwort-App ein, die es Nutzern ermöglicht, ihre Online-Zugänge effizient zu verwalten. Zuvor war die Passwortverwaltung mit Keychain tiefer in den Einstellungen versteckt. Doch die neue App, schlicht "Passwörter...
Mit der Veröffentlichung von iOS 18 im September 2024 führte Apple eine neue Passwort-App ein, die es Nutzern ermöglicht, ihre Online-Zugänge effizient zu verwalten. Zuvor war die Passwortverwaltung mit Keychain tiefer in den Einstellungen versteckt. Doch die neue App, schlicht "Passwörter" genannt, war von einer kritischen Sicherheitslücke betroffen, die erst mit dem Update auf iOS 18.2 im Dezember 2024 behoben wurde.
Passwörter-App nutzte unsichere HTTP-Verbindungen
Die Sicherheitslücke in der Passwörter-App resultierte aus der Nutzung unsicherer HTTP-Verbindungen. Über die unverschlüsselte Verbindung wurden etwa Logos und Icons geladen, aber auch Seiten zum Zurücksetzen von Passwörtern wurden über HTTP-Verbindungen geöffnet.
Da die meisten Webseiten automatisch auf eine sichere HTTPS-Verbindung umleiten, wenn sie eine HTTP-Anfrage erhalten, dürften in den meisten Fällen die Passwortänderungen dann auf einer verschlüsselten Webseite stattgefunden haben. Somit hat sich im Normalfall die Gefahr wohl in Grenzen gehalten.
Allerdings bestand für potenzielle Angreifer, die sich im gleichen Netzwerk befinden, die Möglichkeit, die Anfrage vorher abzufangen. Somit hätten sie Phishing-Angriffe durchführen können, indem sie Nutzer auf gefälschte Login-Seiten umleiten.
Sicherheitslücke wurde erst mit iOS 18.2 geschlossen
"Wir waren überrascht, dass Apple HTTPS für eine so sensible App nicht standardmäßig erzwingt", erklärt der Sicherheitsforscher Tommy Mysk gegenüber 9to5Mac. Mysk hatte die Schwachstelle bereits im September 2024 entdeckt und Apple darüber informiert. Dennoch dauerte es fast drei Monate, bis das Problem mit einem Update behoben wurde.
In iOS 18.2, das im Dezember 2024 veröffentlicht wurde, wurde die Sicherheitslücke geschlossen. Die Details dazu hat Apple erst jetzt veröffentlicht. Die Passwörter-App verwendet nun das verschlüsselte HTTPS-Protokoll, um die Sicherheit der Nutzer zu gewährleisten.
Nutzer sollten sicherstellen, dass sie die neueste Version von iOS installiert haben, um von allen aktuellen Sicherheitspatches zu profitieren. Allerdings wurde zuletzt in der aktuellsten Version iOS 18.3.2 ein Problem bei Push-Benachrichtigungen für iCloud-Mails bekannt.
