Apple behebt Sicherheitslücke in der Passwort-App
von Olli | 10 Kommentare
Apple hat eine Sicherheitslücke in der Passwort-App geschlossen, die seit der Einführung von iOS 18 über drei Monate lang bestand. Der Bug, der Nutzer anfällig für Phishing-Attacken machte, wurde bereits mit iOS 18.2 behoben.
Doch was genau war das Problem? Die Passwort-App sendete Anfragen für Website-Logos und -Icons unverschlüsselt über das Netzwerk. Angreifer im selben WLAN-Netzwerk, etwa in Cafés oder Flughäfen, konnten diese theoretisch Schwachstelle ausnutzen, um Nutzer auf gefälschte Phishing-Seiten umzuleiten und so Login-Daten abzugreifen.
Passwords
Available for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and laterImpact: A user in a privileged network position may be able to leak sensitive information
Description: This issue was addressed by using HTTPS when sending information over the network.
CVE-2024-44276: Talal Haj Bakry and Tommy Mysk of Mysk Inc. @mysk_co
Die Sicherheitslücke wurde bereits im September von den Sicherheitsforschern bei Mysk entdeckt und gemeldet. Apple hat das Problem nun durch die Implementierung von HTTPS-Verschlüsselung behoben. Das Update betrifft nicht nur iOS, sondern auch macOS, iPadOS und visionOS. Finderlohn gab es keinen für die Forscher, das Problem war nicht qualifiziert.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Unglaublich bei der größten Techfirma der Welt. Aber genau aus diesem Grund lagere ich meine Passwörter auch nicht bei Google oder anderen, deren hauptsächliches Geschäftsmodell nicht die Verwaltung und Verwahrung von Passwörtern gegen eine laufende Gebühr ist. Es bleibt sonst naturgemäß ein Nebenthema.
Egal ob kleine Klitsche, Weltfirma oder sonstwo in unserem Leben:
Überall sind Menschen es, die Fehler machen.
Das einzige Wichtige ist:
Wie geht man mit dem Fehler um.
Das braucht auch Zeit – besonders wenn es um Software geht.
Da ist doch das Datum 11. Dezember 2024 gar nicht so schlecht.
Zumal es auch bei Microsoft Fehler gibt die noch nach Jahren lauern.
Das dann Experten und Medien es 4 Monate später melden sollte man nicht Apple anlasten.
Wer also frei von Fehlern ist, werfe den ersten Stein.
Hardwarefehler kann man ggf ausgleichen – selbst im Weltraum siehe Hubble.
Kann man sehen wie man will. Sicherheit wird weder bei Google noch Apple kleingeschrieben. Mir ist lieber ein großer Anbieter, der unter großer Beobachtung steht als irgendein angeblich sicheres, unbekanntes Produkt. Am Ende ist jede Firma auf Gewinn ausgelegt und Sicherheit ist immer erstmal unsichtbar.
Insofern finde ich es etwas kurzsichtig, zu meinen, dass es woanders besser läuft.
Genau, es lebe der Klebezettel unter meinem Laptop mit meinem universelle all4one Kennwort!
‚Das Problem war nicht qualifiziert‘ ist ja wohl der blanke Hohn.
Da können ohne größere Probleme über Monate hinweg Logindaten und Passwörter abgegriffen werden und Apple sagt nichts anderes als Lappalie.
Ein Konzern der Milliarden $ im Quartal verdient, ist zu knauserig hier etwas Geld in die Hand zu nehmen.
Unglaublich!
„Da können ohne größere Probleme …“
Erklär mal bitte mehr. Du scheinst es zu wissen.
Du hast offensichtlich gar keine Ahnung oder hast den Bericht nicht wirklich gelesen. Wahrscheinlich beides. Es wurden niemals Logs oder Passwörter über eine unverschlüsselte Verbindung übertragen. Sondern bestimmte Transaktionen liefen über eine http Verbindung. Einmal das abgreifen der favicon und dann die Weiterleitung auf die Passwort reset Seite. Ja es ist auch ein Sicherheitsrisiko, aber in der Realität nicht so hoch wie man denkt. Es müssten hier ja super viele Faktoren zusammen spielen. Man ist in einem unsicheren Netzwerk und man nutzt diese Funktion. Gleichzeitig muss jemand in diesem Netzwerk sein und genau auf das Nutzen dieser Funktion absehen. Dann muss es noch eine Weiterleitung auf ein phishing Portal geben welches exakt dem entspricht, was man ursprünglich abgefordert hat.
Ich meine, kannst ja mal rechnen wie wahrscheinlich dieses Szenario in der Realiät.
Jedes Gratis Wlan im Supermarkt , Cafe oder in der Stadt mitnehmen, aber sich dann wundern, daß sich da auch kriminelles Gesindel tummelt.
Wer sich in solchen offenen Netzen mit eingeschalteter Hintergrundaktualisierung bewegt dem ist nicht mehr zu helfen.
Wenn das OS und die Apps vernünftig gemacht sind, sollte genau das eigentlich kein Problem sein. Was Apple hier passiert ist, ist eben kein „Bug“ sondern einfach schlampig Umsetzung. Man verwendet einfach keine unverschlüsselten Verbindungen, nie und nirgends.
da hilft dann ein VPN 😉
wen eine Fritzbox hat, kann das dann prima nutzen