Apples zentrales Kundenmerkmal, die Apple-ID, wird vom iOS-Betriebssystem in unregelmäßigen Abständen abgefragt – etwa, wenn das Gerät längere Zeit offline war. Der Nutzer wird daraufhin gebeten, sich erneut beim App- oder iTunes-Store anzumelden. Oft wird die E-Mail-Adresse parallel gezeigt, aber manchmal auch nur das Passwort verlangt.

Dieses Fenster sind Nutzer als legitim gewöhnt – doch ist es auch möglich diese zu fälschen, um Passwortdaten abzugreifen, was nun der Entwickler und IT-Unternehmer Felix Krause in seinem Blog dargelegt hat: "Wie Sie ganz einfach das Apple-ID-Passwort bekommen – Sie müssen einfach fragen."

Dazu hat er ein Proof-of-Concept-Modell entwickelt. Ein böswilliger Entwickler könnte auf die Idee kommen, in seine App derlei Code zu integrieren. Üblicherweise leistet Apple zwar einen guten Job, iOS-Apps vor der Zulassung im App Store zu kontrollieren, aber Krause fürchtet, dass ein derart simples Pop-up nachträglich eingeschmuggelt werde könnte.

Krause, der selbst Experte für die Entwicklung mobiler Apps ist, forderte Apple auf, den Nutzer in die Systemeinstellungen weiterzuleiten, die garantiert von Apple kontrolliert werden, statt die Abfrage des Passworts einfach nur per Pop-up durchzuführen. Zudem sollten Dialoge von Apps das App-Icon enthalten, sagt Krause, damit festgestellt werden kann, dass das Pop-up nicht vom System kommt.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE