News iOS-Sicherheitslücke: iCloud-Passwort kann per E‑Mail abgefangen werden

[Admen]

Deine Kritik ist noch unprofessioneller, schließlich hast du ja nicht mal aufmerksam die News gelesen. Wieso behauptest du sonst dass man die email Adresse eingeben muss?

Du bist einer von denen die hier bei jeder zweiten News kundtun müssen wie schlecht cb ja ist oder geworden ist. Ich frage mich warum ihr nicht einfach die Seite ignoriert wenn sie ja angeblich so Bild mäßig geworden ist. Stattdessen gibt's Woche für Woche den selben schmarn. Hauptsache was zu meckern ist das Motto.

 

[sunnyday]

Es ist ein Problem von iOS.

Die Überschrift ist genau richtig.

 

[G00fY]

Also wieder viel Wind um wenig, denn:

- Sieht das Eingabefenster ANDERS aus.
- Muss man, unter iOS, NIE seine Mail eingeben (außer initial), sondern NUR das Passwort
- Ist das Nachladen von HTML content eh Gefährlich (leider aber per default aktiv, das sollte nicht nur Apple aendern..!)

Du bist ja vielleicht lustig. Woher willst du wissen wie das Eingabefenster konkret aussieht? Das kannst du per HTML/CSS beliebig gestalten und auch 1:1 dem Original nachbilden. Siehe:

Phishers using the free tool can customise their phishing campaigns to pluck whichever credentials they wish to harvest.

Der Screenshot ist nur aus dem Proof-of-Concept Code des Entdeckers der Lücke.
Die Mailadresse des Betroffenen hat der Angreifer doch eh schon und muss nicht eingegeben werden, hast du die News überhaupt gelesen?
Es geht hier nicht nur um "normales Pishing" sondern das ungefragte Nachladen von Remote HTML und sogar dem Ausgeben von Popups. In der Kombination ist das eine glasklare Sicherheitslücke des nativen Mail Clients und daher von iOS.
Kannste du den Normaluser noch so dumm darstellen. Ein Konzern wie Apple sollte es Angreifen nicht derart leicht machen.

Unglaublich was manche Menschen für eine Einstellung haben. Die Aussage dass das alle Mailclients so machen ist auch vollkommen unwahr!

 

[estros]

Keine Ahnung, für mich ist das ein 0815 Phishing-Versuch. Da kann Apple wenig machen außer evtl bessere Filter in den Mail Clienten einbauen. iOS ist hier genauso angreifbar wie jedes andere OS.

 

[Vivster]

@estros
Apple kann genau eine Sache machen, und zwar das Problem mit nur einem Switch beheben. Das Problem hier sind nicht Phishing Mails sondern, dass der iOS eigene Mail Client einfach ungefragt content nachlädt. Bei vielen anderen Mail Clients passiert dies nicht automatisch und man erhält eine Warnung, dass die Mail versucht externen Content nachzuladen.

Es ist ein ganz klares Problem mit einer ganz einfachen Lösung. Dass die Lösung so einfach ist und schon so lange bekannt ist und trotzdem noch nicht implementiert ist macht die ganze Sache eine News wert.

 

[Wilhelm14]

Apple könnte das automatische Nachladen von HTML und die dadurch aufgerufenen Popups unterbinden. Nervige Popups kennt man von Browsern. Und in diesem Fall scheint nachgeladenes HTML vom Mail-Programm an den Browser/ die Engine geleitet zu werden, welche/r das Popup anzeigt. Das ist mir bei sonst keinem anderen Mail-Programm bekannt. Wenn das doch so wäre, müsste dieselbe E-Mail auf einem nicht iOS-Gerät dasselbe Popup erzeugen können. Dort würde man sich dann aber wundern, warum das nicht iOS-Gerät nach dem iCloud-Passwort fragt.

 

[estros]

@estros
Apple kann genau eine Sache machen, und zwar das Problem mit nur einem Switch beheben. Das Problem hier sind nicht Phishing Mails sondern, dass der iOS eigene Mail Client einfach ungefragt content nachlädt. Bei vielen anderen Mail Clients passiert dies nicht automatisch und man erhält eine Warnung, dass die Mail versucht externen Content nachzuladen.

Es ist ein ganz klares Problem mit einer ganz einfachen Lösung. Dass die Lösung so einfach ist und schon so lange bekannt ist und trotzdem noch nicht implementiert ist macht die ganze Sache eine News wert.

Ich habe auch nicht das Gegenteil behauptet. Wie ich schrieb, auch wenn du es gerne ignorierst, da ist nicht iOS Schuld, sondern eindeutig der E-Mail Client, der eine klassische Phishing Mail deren Content nachladen lässt. Aber so bringt die News leider mehr Klicks...

 

[Pr0gramm]

Mal wieder übelstes Apple Bashing! Apple hat damit nichts am Hut wenn Brain.exe versagt und man auf eine Phishing Mail reinfällt.

 

[Pr0gramm]

genau darauf habe ich gewartet Sehr gut

 

[Mrdk]

...wenn Brain.exe versagt...

Brain.app in dem Fall.

Spaß beiseite. Grundsätzlich sollten Mailclients keine HTML-Meta-Tags zulassen. Aber das ist nicht nur bei Apple so. "iOS-Sicherheitslücke" kann man es gewiss nicht nennen.

 

[Winterday]

Auf diese Art von Trick fallen bestimmt auch viele erfahrene Benutzer herein. Warum aber schickt der Betrüger hinterher eine E-Mail mit einem "Dankeschön"?

 

[LuckyMagnum]

Ich hab selbst ein iPhone und mag Apple im Allgemeinen.
Aber hier liegt der Fehler sehr wohl bei Apple und ich bin Computerbase.de sehr dankbar, dass auf den Fehler hingewiesen wurde!

In den Mails darf nicht einfach beliebiger Code automatisch ausgeführt werden, sodass System-Fenster aufploppen. Das ist eindeutig Apples Baustelle. Mit "bashing" hat das nichts zu tun.

 

[G00fY]

Warum aber schickt der Betrüger hinterher eine E-Mail mit einem "Dankeschön"?

Hier ist die News etwas schlecht verfasst. Es wird sich auf das Proof-of-Concept Beispiel des Entdeckers der Lücke bezogen. Der will natürlich mit dem Beispielcode nichts böses, sondern auf den Fehler hinweisen. Echte Angreifer könnten die Method aber ja schon längst nutzen und dadurch Passwörter stehlen.

 

[Mrdk]

...sodass System-Fenster aufploppen...

Es ist kein System-Fenster und deswegen auch keine iOS Sicherheitslücke.
Die App führt keinen "Schadcode" in dem Sinne aus, der "Schadcode" sitzt vor dem Gerät.

 

[G00fY]

Es ist kein System-Fenster und deswegen auch keine iOS Sicherheitslücke.
Die App führt keinen "Schadcode" in dem Sinne aus, der "Schadcode" sitzt vor dem Gerät.

Es wird nicht auf das iOS Framework zur Anzeige eines System-Fensters zurückgegriffen, das ist richtig. Finde die gewählte Überschrift auch etwas überzogen. Aber der Mail Client ist nun mal ein Bestandteil von iOS und immer mit dabei. Daher ist es nicht ganz falsch. Das der Fehler vorm Gerät sitzt sehe ich ganz und gar nicht so, es ist eindeutig eine Sicherheitslücke von Apple.

 

[frankpr]

Mal wieder übelstes Apple Bashing!

Ah ja. Ich würde eher sagen, allerübelstes, herablassendes Normalverbraucherbashing deinerseits.

Wenn die Mail App in IOS ungefragt HTML Inhalte im Hintergrund nachlädt und ausführt ist das sehr wohl eine Sicherheitslücke in IOS (es wäre mir neu, daß man die App separat nachinstallieren oder deinstallieren kann, sie ist Bestandteil von IOS).
Noch schlimmer, das Deaktivieren der HTML Ansicht ist unter IOS nicht vorgesehen, lediglich das automatische Laden von Bildern kann deaktiviert werden.
Schon mal die Mail App auf dem iPad gesehen/benutzt? Tatsächlich, es geht noch schlimmer, als auf dem iPhone, die zeigt auf dem iPad die letzte empfangene Mail nach dem Aufruf der App immer gleich an und auch das läßt sich nicht unterbinden. Schadcode ist hier Tür und Tor geöffnet.

Und das Alles unter einem OS, das für Otto Normalverbraucher entworfen wurde, der seine Geräte einfach ohne vorheriges Studium nutzen möchte. Daß der nicht immer wissen kann, was echt ist und was nicht, sollte ihn nicht zum Deppen stempeln.

Und damit das nicht falsch verstanden wird, ich bin sehr zufriedener iPhone und iPad Nutzer, aber das verhalten der Mail App stört mich schon lange.

Die Frage ist, ob sich CB aktuell (vielleicht wurde das ja auch schon entschieden und ging an mir vorbei) nur noch an Normalos richtet, oder wie früher doch eher an Erfahrene (nicht unbedingt Experten)

Habe ich etwas verpaßt, war CB schon einmal an eine bestimmte Zielgruppe gerichtet oder doch eher eine allgemeine Plattform für Computernutzer aller Art?

 

[Mr.Smith]

Alt bekanntes Phising. …

ehm nein! man kriegt ja sofort ne mail ..

Ergänzung (11. Juni 2015)

Wenn die Mail App in IOS ungefragt HTML Inhalte im Hintergrund nachlädt und ausführt ist das sehr wohl eine Sicherheitslücke in IOS (es wäre mir neu, daß man die App separat nachinstallieren oder deinstallieren kann, sie ist Bestandteil von IOS).

Es gibt viele Mail Client alternativen, viele sogar besser! ==> wenn du es nicht konfigurierst, dann kann es auch nichts machen du NASE.

 

[Corros1on]

Jedes System kann GEHACKT und oder eingedrungen werden das gibt es keine Ausnahme keine einziege! Wer das Wissen, Möglichkeit und die Fähigkeit besitzt kann jedes System besiegen! Die Möglichkeiten um ein System relativ "sicher" zu machen ist der Aufwand soweit zu erschweren und/oder eine frühzeitige Erkennung um das Hacken und/oder eindringen relativ unattraktiv wird für wen oder was auch immer.
"Sicher ist, dass nichts sicher ist. Selbst das nicht" Joachim Ringelnatz

Ich mag jetzt selber nicht Apple. Aber man sollte doch wenigsten froh sein das Schwachstelle gefunden wurde und man sollte Apple schon Zeit geben die Sache zu bereinigen.

 

[UNDERESTIMATED]

Die haben sie seit Januar - schon sehr arm bis dato immer noch nicht darauf reagiert zu haben, zumal esja auch keine Phishing Mail im Ursrpünglichen Sinne ist - das Fenster kommt klipp und klar von iOS und nicht aus einer Website/Whatever......

 

[Krautmaster]

Keine Ahnung, für mich ist das ein 0815 Phishing-Versuch. Da kann Apple wenig machen außer evtl bessere Filter in den Mail Clienten einbauen. iOS ist hier genauso angreifbar wie jedes andere OS.

genau,. Apple muss aktiv werden. Und zwar über eine iOS Anpassung. Es ist deren Mail Client.