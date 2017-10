Grundsätzlich ist dieser Angriff so simpel, dass man sich fragen muss, warum man bei Apple selbst da nicht drauf gekommen ist. Denn im Prinzip kann jede App einen Dialog erzeugen, der der offiziellen Passwortabfrage von Apple zum Verwechseln ähnlich sieht:

Den winzig kleinen Unterschied bei den Anführungszeichen wird kaum jemand auf Anhieb bemerken, was die Sache für einen potentiellen Angreifer natürlich sehr einfach macht. Auf diesem Weg könnte nun also jede App einfach nach dem Passwort zur Apple ID fragen. Die Mailadresse des Nutzers zu bekommen ist ja nicht so schwer, man muss nur einen Grund finden, warum der Nutzer den Zugriff auf die Kontakte erlauben soll. Praktischerweise bietet Apple für Entwickler auch ein API an, um zu testen, ob eine Mailadresse zu einem iCloud-Account gehört. Aber selbst, wenn das nicht klappt, hat Apple hierfür eine „Lösung“. Es gibt nämlich auch legitime Passwortabfragen, die ohne die Mailadresse daher kommen, die sich natürlich ebenso fälschen lassen:

Großartig – zumindest für diejenigen, die so was nutzen wollen.

Wie gefährlich ist das?

Das ist immer die erste Frage: Wie groß ist die Gefahr wirklich. Einerseits lässt sich der Dialog sehr einfach von Apps fälschen, andererseits muss so eine App erst einmal in den Store kommen. Felix Krause, der das dokumentiert hat, warnt aber davor, sich darauf zu verlassen, dass Apple so einen Angriff im Zweifel filtern würde und nennt einige Möglichkeiten, diesen Code an der Kontrolle von Apple vorbei zu schmuggeln. Zum Beispiel könnte die App den entsprechenden Code erst später nachladen. Das ist zwar grundsätzlich nicht erlaubt, aber es gibt eine Ausnahme für JavaScript und entsprechende Frameworks, die aus JavaScript-Aufrufen entsprechende Systemaufrufe machen. Oder der Code wird versteckt und nur ausgeführt, wenn man sich sicher ist, dass die App bereits den Review-Prozess durchlaufen hat, zum Beispiel, indem man dazu einfach die entsprechende Schnittstelle für die Suche in iTunes verwendet.

Auch auf die Zwei-Faktor-Authentifizierung sollte man sich nicht verlassen, schon gar nicht, wenn man gerade eben der Meinung war, sein Passwort in einen legitimen Dialog getippt zu haben.

Und überhaupt nicht verlassen sollte man sich darauf, dass ein Entwickler ja seinen Status als Entwickler verlieren würde, wenn heraus kommt, dass er so etwas in seine App gebaut hat. Jemand, der so viel kriminelle Energie hat, so eine Phishing-App zu bauen, wird sich von einem Rauswurf aus dem Apple-Entwickler-Programm kaum beeindrucken lassen – falls er überhaupt eine eigene App verwendet. Ist ja schon mehrfach vorgekommen, dass bei Einbrüchen in Server faule Eier in Source-Codes abgelegt wurden.

Man ist nicht schutzlos

Am besten wäre natürlich, wenn Apple hier schnell tätig würde, aber auch bis dahin gibt es Möglichkeiten, solchen Angriffen auszuweichen. Die einfachste Möglichkeit ist natürlich immer, solche Dialoge zu meiden. Ein Tipp auf Abbrechen und dann das Passwort in den Systemeinstellungen direkt eingeben. Man sollte es auch vermeiden vor dem Abbruch das Passwort in das Eingabefeld zu tippen, denn die App kann diese Infos auch lesen, ohne das der Dialog bestätigt wird.

Um zu prüfen, ob es ein legitimer Dialog ist oder nicht, hilft ein Druck auf den Homebutton (wenn man den denn noch hat): Verflüchtigt sich beim Druck auf den Homebutton der Dialog und die App, dann war es ein Fake – bleibt der Dialog, dann ist er offiziell und läuft nicht innerhalb der App, sondern als Systemprozess.

Apple müsste was tun…

Die einfachste Möglichkeit, solche Angriffe zumindest leicht erkennbar zu machen ist auch die offensichtlichste. Man muss sich nur die Push-Benachrichtigungen anschauen, die immer mit dem Icon der entsprechenden App gekennzeichnet sind. Platz genug wäre ja in den Dialogen, hier das entsprechende Icon der App einzublenden, die einen Dialog geöffnet hat. So wäre auf einen Blick zu erkennen, ob eine solche Anfrage vom System kommt oder ob es sich um einen Fake-Dialog einer App handelt. Oder Systemdialoge werden in einer Art gestaltet, die einzigartig ist und die sich nicht von Apps so ohne weiteres nachstellen lässt.

…wird aber wohl weiterhin nichts tun

Wer jetzt aber auf schnelle Abhilfe durch Apple hofft, wird wohl enttäuscht werden. Denn was Felix Krause hier aktuell dokumentiert hat, ist kein neues Problem und wurde auch schon im letzten Jahr dokumentiert. Und wenn Apple es bislang nicht für nötig hielt, an dieser Stelle Änderungen vorzunehmen, dann wird das jetzt wohl auch nicht so schnell passieren.