Entwickler kritisiert iOS-Passwortabfrage

App-Entwickler Felix Krause kritisiert Apple. Zu lange habe man die Nutzer darauf getrimmt, in allen möglichen Situationen und an allen Orten ihre iCloud-Zugangsdaten in iOS einzugeben. Er hat eine Machbarkeitsstudie entwickelt, die zeigt, dass man Apples Abfrageoptik fälschen kann. Dies könnten auch böswillige Angreifer, so wie er meint. Zwar teste das Apple-App-Store-Team sehr gut, damit so etwas nicht passiere, aber wenn alles mal dumm zusammenkommt, dann könnte eine solche böswillige App durchflutschen – und vielleicht mit einem Trigger auf Basis Zeit oder Ort versehen werden, um Nutzerdaten abzufischen.

Er empfiehlt, den sperrigen Weg über den Home-Button zu gehen. Wird dieser gedrückt und der Abfrage-Prompt ist noch da, dann sei die Abfrage valide. Eine böswillige App würde geschlossen werden – inklusive der Fake-Abfrage. Definitiv ein kniffliges Problem, welches nicht nur Apple betrifft – auch LastPass-Nutzer bekamen schon Fake-Abfragen im Browser und Angreifer versuchten auch schon, Windows-Zugangsdaten so zu entlocken.

Zwar nervt Apple die Nutzer schon seit langem damit, dass diese eine Zwei-Faktor-Authentifizierung nutzen, sodass die Kombination aus Nutzernamen und Passwort alleine unnütz ist, aber vielleicht könnte man es tatsächlich besser lösen – mit der Option, dass nur in den Systemeinstellungen das Passwort eingegeben werden kann. Das ist zwar unbequemer, aber eben doch vertrauenswürdiger.