Apple Mail für iOS: Schwachstelle erlaubt Diebstahl von iCloud-Passwörtern

Die Lücke in der iOS-Mail-App soll Apple angeblich seit Januar bekannt sein. Keines der nach iOS 8.1.2 ausgelieferten Updates enthält einen Fix. Der Entdecker des Bugs hat Proof-of-Concept-Code auf Github veröffentlicht.

Einem Bericht des The Register zufolge erlaubt ein Fehler das Laden von HTML-Inhalten aus der Ferne, wenn eine E-Mail an das Opfer ausgeliefert wird. Dabei kann es sich beispielsweise um eine falsche Anmeldeseite für Apples Clouddienst iCloud handeln, worüber ein Angreifer dann Apple-ID und Passwort ausspähen kann. Entdeckt wurde die Lücke in der iOS-Mail-App vom Sicherheitsexperten Jan Soucek.

Apple-iCloud (Screenshot: ZDNet.de)

Apple-iCloud (Screenshot: ZDNet.de)

Wie es in dem Bericht weiter heißt, ersetze der HTML-Inhalt die eigentliche E-Mail-Nachricht. Obwohl JavaScript in der Web-View-Komponente der Mail-App deaktiviert sei, sei es möglich, funktionierende Anmeldeseiten mit HTML und CSS zu erstellen. Nutzer der Mail-App von iOS sähen nur ein Pop-up, das sich nicht von einer regulären Abfrage der iCloud-Anmeldedaten unterscheide.

Apple ist die Anfälligkeit dem Forscher zufolge seit Januar bekannt. Das Unternehmen habe seitdem aber nicht reagiert. Keines der nach iOS 8.1.2 ausgelieferten Updates enthalte einen Fix. „Deswegen habe ich mich entschlossen, den Proof-of-Concept-Code hier zu veröffentlichen“, schreibt Soucek in einem Eintrag auf Github. Da die Sicherheitslücke das Einschleusen von beliebigen HTML-Inhalten erlaubt, sind nicht nur Phishing-Angriffe auf iCloud möglich. Das von Soucek bereitgestellte Tool lässt Hacker Anmeldeseiten beliebiger anderer Dienste fälschen und für Phishing-Kampagnen benutzen.

Dass der Promi-iCloud-Hack im vergangenen Jahr mindestens 572 iCloud-Konten betraf, war erst Anfang der Woche bekannt geworden. Ein bereits im vergangenen Jahr verhafteter Tatverdächtiger griff zwischen 31. Mai 2013 und 31. August 2014 in Summe 3263-mal auf iCloud-Konten zu.

Wie er an die iCloud-Anmeldedaten gekommen ist, ist weiter unklar. Mehrere Opfer sagten der Polizei demnach, sie seien im Zeitraum vor Veröffentlichung der Fotos einmal aus dem eigenen iCloud-Konto ausgesperrt gewesen. Andere berichten, auf Phishing-Nachrichten hereingefallen zu sein und Namen und Passwort preisgegeben zu haben.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Apple Mail für iOS: Schwachstelle erlaubt Diebstahl von iCloud-Passwörtern

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *