Entwickler kritisiert iOS-Passwortabfrage

11. Oktober 2017 Kategorie: Apple, Backup & Security, geschrieben von: caschy

App-Entwickler Felix Krause kritisiert Apple. Zu lange habe man die Nutzer darauf getrimmt, in allen möglichen Situationen und an allen Orten ihre iCloud-Zugangsdaten in iOS einzugeben. Er hat eine Machbarkeitsstudie entwickelt, die zeigt, dass man Apples Abfrageoptik fälschen kann. Dies könnten auch böswillige Angreifer, so wie er meint. Zwar teste das Apple-App-Store-Team sehr gut, damit so etwas nicht passiere, aber wenn alles mal dumm zusammenkommt, dann könnte eine solche böswillige App durchflutschen – und vielleicht mit einem Trigger auf Basis Zeit oder Ort versehen werden, um Nutzerdaten abzufischen.

Er empfiehlt, den sperrigen Weg über den Home-Button zu gehen. Wird dieser gedrückt und der Abfrage-Prompt ist noch da, dann sei die Abfrage valide. Eine böswillige App würde geschlossen werden – inklusive der Fake-Abfrage. Definitiv ein kniffliges Problem, welches nicht nur Apple betrifft – auch LastPass-Nutzer bekamen schon Fake-Abfragen im Browser und Angreifer versuchten auch schon, Windows-Zugangsdaten so zu entlocken.

Zwar nervt Apple die Nutzer schon seit langem damit, dass diese eine Zwei-Faktor-Authentifizierung nutzen, sodass die Kombination aus Nutzernamen und Passwort alleine unnütz ist, aber vielleicht könnte man es tatsächlich besser lösen – mit der Option, dass nur in den Systemeinstellungen das Passwort eingegeben werden kann. Das ist zwar unbequemer, aber eben doch vertrauenswürdiger.


Über den Autor: caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25012 Artikel geschrieben.