iOS 8.3: E-Mail-Schwachstelle kann iCloud-Kennwörter abzapfen

Wenn euch die Mail-App des iPhones beim Lesen neuer Zuschriften mal wieder mit einer iCloud-Passwort-Abfrage nerven sollte, dann prüft den eingeblendeten Dialog lieber zwei mal! Im schlechtesten Fall könntet ihr das Opfer einer Phishing-Attacke sein.

So beherbergt die E-Mail-App des iPhone-Betriebssystems seit mehreren Monaten einen Fehler, der die automatische Einblendung falscher Passwort-Abfragen ermöglicht.

Die Hintergründe sind schnell erklärt: So akzeptiert die Mail-App gesetzte HTML-Tags die das Nachladen externer Inhalte ermöglichen (etwa <meta http-equiv=refresh>) und so auch Javacsript-Code ausführen können, der die Passwort-Abfrage authentisch erscheinen lässt.

Nach Angaben des Entwicklers Jan Souček, der den Code zum Ausnutzen der Schwachstelle auf GitHub publiziert hat, existiert der Fehler bereits seit rund einem halben Jahr und wurde auch an Apple gemeldet – eine Reaktion aus Cupertino lässt jedoch noch immer auf sich warten.

Souček demonstriert den automatisierten Angriff in dem unten eingebetteten, bislang privaten Youtube-Video, das nun für alle Interessierten Besucher des Video-Portals verfügbar ist und will so den Druck auf Apples Security-Abteilung erhöhen. Der Fehler lässt sich seit 8.1.2 ausnutzen. Danke Marius.