Schwachstelle in Mail-App für iOS ermöglicht Diebstahl von iCloud-Passwörtern
Der HTML-Inhalt einer an den Besitzer des Smartphones gesandten Nachricht lässt sich durch andere Inhalte ersetzen. So könnten Angreifer etwa eine gefälschte Anmeldesiete für ICloud auslifern und darüber Benutzername und Passwort abgreifen. Apple ist das offenbar seit Januar bekannt.
Der Sicherheitsexperte Jan Soucek hat eine Sicherheitslücke in der iOS-Mail-App gefunden. Darüber ist es möglich, HTML-Inhalte aus der Ferne zu laden, wenn eine E-Mail ausgeliefert wird. Es kann sich dabei beispielsweise um eine gefälschte Anmeldeseite für iCloud handeln, die es dem Angreifer dann ermöglichen würde, Apple-ID und Passwort auszuspähen.
Wie The Register berichtet, ersetzt der HTML-Inhalt die eigentliche E-Mail-Nachricht. Obwohl JavaScript in der Web-View-Komponente der Mail-App deaktiviert sei, ließen sich funktionierende Anmeldeseiten mit HTML und CSS zu erstellen. Nutzer der Mail-App von iOS sähen nur ein Pop-up, das sich nicht von einer regulären Abfrage der iCloud-Anmeldedaten unterscheide.
Jan Soucek zufolge ist Apple die Schachstelle seit Januar bekannt. Das Unternehmen habe seitdem jedoch nicht reagiert. Keines der nach iOS 8.1.2 ausgelieferten Updates enthalte einen Fix. “Deswegen habe ich mich entschlossen, den Proof-of-Concept-Code hier zu veröffentlichten”, schreibt Soucek auf Github.
Da die Sicherheitslücke das Einschleusen von beliebigen HTML-Inhalten erlaubt, sind nicht nur Phishing-Angriffe auf iCloud-Konten möglich. Das von Soucek bereitgestellte Tool lässt Hacker Anmeldeseiten beliebiger anderer Dienste fälschen und für Phishing-Kampagnen benutzen.
Anfang der Woche war bekannt geworden, dass der Promi-iCloud-Hack im vergangenen Jahr mindestens 572 Konten betraf. Ein bereits im vergangenen Jahr verhafteter Tatverdächtiger griff zwischen 31. Mai 2013 und 31. August 2014 insgesamt 3263-mal auf iCloud-Konten zu und holte sich von dort unter anderem Nacktbilder der eigentlichen Besitzer.
Wie er an die Anmeldedaten gekommen ist, ist weiter unklar. Mehrere Opfer gaben bei der Polizei an, sie seien vor Veröffentlichung der Fotos einmal aus dem eigenen iCloud-Konto ausgesperrt gewesen. Andere berichten, auf Phishing-Nachrichten hereingefallen zu sein und Namen und Passwort preisgegeben zu haben.