5. Juni 2015

Julian Senft

Gefahr für iOS-Nutzer: Kreditkartenphishing über WLAN möglich

Die Sicherheitsfirma Wandera hat in iOS eine gravierende Sicherheitslücke entdeckt. Kriminelle können die automatische Verbindungsaufnahme des iPhones mit einem WLAN-Netzwerk ausnutzen, um ein selbsterstelltes Fenster zu öffnen, in dem man seine Daten eingeben soll – gerade Apple Pay Nutzer könnte dies in die Irre führen.

iossicherheitslücke

Besonders in den USA ist die Nutzung von HotSpots – beispielsweise das attwifi von AT&T – sehr beliebt. Das iPhone verbindet sich komplett von alleine und man hat keine zusätzliche Mühe. Diese Funktion können sich Kriminelle derzeit zunutze machen. Geben sie sich beispielsweise als "attwifi" aus, lassen sich nach Verbindungsaufbau Ansichten auf dem Gerät öffnen (Bild oben). So lässt sich ein Apple Pay-Dialogfenster nachstellen, in dem der Nutzer seine Daten erneut eingeben soll. Natürlich kann das Fenster auch anders aussehen. Die Sache hat dazu einen großen Haken: Dieses Fenster kann man zu einem beliebigen Zeitpunkt aufrufen. Hat man also gerade mit Apple Pay bezahlt, kann es sich sofort öffnen. So soll das Opfer denken, etwas stimme mit den Kreditkarteninformationen nicht und trägt bereitwillig seine Daten ein.

Der einzige Schutz gegen solche Angriffe ist das WLAN zu deaktivieren, wenn man unterwegs ist, um den automatischen Verbindungsaufbau zu unterbinden. Wandera hat Apple bereits über die Sicherheitslücke informiert.

Weitere Artikel

MacBook 12 Zoll: booq und Hamburger Manufaktur mit neuen Sleeves

Kein Zugang für NSA: Edward Snowden lobt Apples Verschlüsselung

20 Gedanken zu „Gefahr für iOS-Nutzer: Kreditkartenphishing über WLAN möglich“

  1. Das hat nichts mit hacken zutun! Das ist auch keine Sicherheitslücke! Es ist einfach ein WLAN Netzwerk was wie die T-Mobile Hotspots eine extra Seite öffnet bloß steht da anstat anmelden halt enter Card Info…
    • So ist es. Lächerlich. Man kann doch überall nach den Daten fragen. Auch wenn es tatsächlich so programmiert ist, dass es sich direkt nach dem bezahlen öffnet, so ist es keine Lücke sondern bestenfalls eine neue Phishing Idee. Hauptsache man hat es in der Überschrift und bekommt Klicks.
      • Leute nichts für ungut, aber das ist sehr wohl eine sicherheitlücke. Denn wenn man sich als falsches WLAN Netzwerk ausgeben kann und abschließend ein Fenster erzeugen kann, indem man die Kreditkarteninformationen abfragt, ist das nicht lächerlich, sondern sollte seitens Apple schnellstmöglich unterbunden werden!
      • Haha, ist das dein ernst? Also die Homepage hat mehrere Werbebanner. Daran ist auch nichts verwerflich. Wenn die App keine Werbung hat, dann ändert das nichts daran. Klicks müssen generiert werden und mit solchen Überschriften bekommt man sie. Fertig aus. Zum Thema, für mich ist eine Sicherheitslücke eine Lücke im System, mit dem die Sicherheit des Systems gefährdet ist. Dies ist hier aber nicht der Fall, da es eine aktive Aktion des Nutzers bedarf um die Daten per Hand in ein Fenster einzugeben. Ich frage mich vor allem, wie man das verhindern soll. Der Betreiber eines Wlans kann ja in sein Anmeldeformular eingeben, was er möchte. Oder sehe ich das falsch?! Ist das nicht grundsätzlich mit jedem Smartphone so und kein iOS spezifisches Problem? Wenn das nur bei iOS so funktioniert, dann ist es sicher eine andere Sache.
      • Es ist keine Systemlücke, davon ist nicht die Rede. Aber eine „Lücke“ in der Sicherheit. Das die Sicherheit gefährdet ist. Daran gibt es nichts zu rütteln. Dass das Ganze nur iOS betrifft, sollte relativ klar sein. Schließlich ist es auf „Apple Pay“ ausgelegt, sodass etwa nach dem Bezahlprozess mit Apple Pay die Daten verlangt werden, wie im Beitrag steht. Von daher ist davon auszugehen, dass es gezielt auf iOS Nutzer ausgerichtet ist.
      • Außerdem ist es allein schon aus dem Fakt eine Sicherheitslücke, als dass Apple diese beheben kann! Denn es geht hier um die „automatische Verbindungsaufnahme“ mit dem Netz, die es in iOS gibt. Sodass Nutzer gar nicht merken, dass das Popup vom WLAN kommt. DAS muss Apple fixen.
      • Das habe ich nicht gemeint. Sicher ist DIESE Variante auf Apple Nutzer ausgelegt aber das beantwortet nicht die Frage, ob das überall so gemacht werden kann und dann ggf. ein anderes Anmeldefenster generiert wird, das so aussieht wie bei Android Pay zum Beispiel. Und genau die Frage ob das nur iOS betrifft, wird im Artikel nicht beantwortet. Nur weil „gerade Apple Pay Nutzer“ HIERMIT in die Irre geführt werden sollen, ist es noch lange kein iOS spezifisches Problem. Wie gesagt, der Anbieter eines Wlans kann doch sicher sein Anmeldefenster gestalten, wie er möchte. Wie man das nun in Zukunft „fixen“ soll, weiß ich nicht. Aber vielleicht weiß es jemand anderes hier? Man könnte doch höchstens grundsätzlich bei jedem Wlan Anmeldefenster einen Hinweis einblenden, dass es sich hier um ein Wlan handelt und auch nur Wlan Daten eingegeben werden sollten. Oder man filtert die Begriffe wie „Kreditkarte“ „CVS“ und „Ablaufdatum“ heraus. Am Ende sieht man aber genau daran, dass es eben keine Sicherheitslücke ist, sondern eine Methode zum Phishing.
    • Es ist eine Sicherheitslücke. Punkt. Die Sicherheit der Nutzer wird gefährdet. Nur weil es sonst immer im anderen Kontext verwendet wird.
  2. Mal abgesehen von den sicherheitsbedenken ist das AT&T wifi echt suuper, egal wo du in der Stadt bist oder am Flugplatz, du findest fast überall das wifi und bist immer verbunden. Das hat mir schon einige GB gesparrt. Das ist halt das Problem in Deutschland das sowas immer Jahre/Jahrzehnte braucht und wenns dan mal da ist funktionierts fast nie. Mit gefällt einfach die komplette IT/Kommunikation usw ist bei mir in den USA Jahrzehnte weiter als in Deutschland…
    • Naja… Die Telekom/Hotspots sind auch nicht ohne und je nach Tarif kostenlos. In Ballungszentren, wie z. B. Köln, nicht schlecht. Aber wer sich in öffentliche WiFi’s ohne VPN einloggt und dann noch persönliche Daten eingibt, dem ist so oder so nicht zu helfen.
  3. ich für meinen Teil hab ein super starken LTE Tarif bei der Telekom und selbst wenn ich die Möglichkeit hätte mich in ein Hotspot reinzuwählen so würde ich da nie solche sensiblen Daten eingeben. Sorry da sind die Leute selber schuld und nicht Apple
  4. Zu den Kommentaren weiter oben (ich will nicht „Antworten“): Es ist erstmal keine Sicherheitslücke, das automatische Verbinden ist eine Funktion von iOS, die generell ganz nützlich ist (es wäre natürlich schön, wenn man sie ausschalten könnte). Öffentliche WLANs sind immer ein Sicherheitsproblem. Diese „Lücke“ ist keine Lücke, sondern ein normales Anmeldefenster, dass ein WLAN Betreiber anzeigen kann, wann er will, damit der Benutzer sich im WLAN anmeldet (z. B. wenn man einen zeitgeschalteten Zugang hat). Dieses Anmeldefenster ist aber eine ganz normale Seite und kann somit alles beinhalten. Dadurch kann man theoretisch alles nachbauen was man möchte. Deswegen ist es, wie oben erwähnt, keine Sicherheutslücke, sondern eine Phishing Idee, genau wie Phishingmails.
  5. Ich gebe dir recht. Und wenn ich mich recht erinnere versucht mein Windows Laptop sich auch immer mit gleichnamigen WLAN Netzwerken zu verbinden was natürlich fehlschlägt weil sie ein anderes Kennwort haben als das bereits bekannte Netzwerk.
  7. autimatische Einwahl in freie WLAN Netze? Ich weiß nicht was manche für ne Einstellung haben und ich meine die im Phone :) 1. schalte ich unterwegs WLAN aus, spart schon mal Akku, da keine ständiges suchen im Hintergrund und 2. automatische Einwahl nur bei Verwandten/Freunde wo ich den Pin dazu bekommen habe. Hotspots haben bei mir Null-Chance.

Die Kommentare sind geschlossen.