Apple hat still und leise eine brisante Schwachstelle in seiner Passwort-App beseitigt, die Nutzer über mehrere Monate hinweg potenziellen Gefahren ausgesetzt hat, so MacLife. Bereits seit der Einführung von iOS 18 bestand ein Sicherheitsproblem, das Angreifern im gleichen WLAN-Netzwerk Tür und Tor geöffnet hätte - insbesondere in öffentlich zugänglichen Netzen wie in Cafés, Hotels oder Flughäfen.
Unverschlüsselte Anfragen als Einfallstor
Was war passiert? Die App, die Apple für die Verwaltung von Passwörtern und Anmeldedaten anbietet, verschickte beim Abrufen von Website-Logos und Icons unverschlüsselte Anfragen ins Internet. Für Nutzer kaum sichtbar, aber für Angreifer eine goldene Einladung: Wer sich im gleichen Netzwerk befand, konnte den Datenverkehr abfangen und manipulieren.
Im schlimmsten Fall hätten Cyberkriminelle den Nutzer unbemerkt auf täuschend echte Phishing-Seiten umleiten können. Dort ließen sich Login-Daten abgreifen, bevor der Nutzer etwas bemerkte.
Sicherheitsforscher entdeckten das Problem
Die Sicherheitslücke wurde bereits im September 2024 von Sicherheitsforschern aufgedeckt und an Apple gemeldet. Doch erst mit dem Update auf iOS 18.2 wurde das Problem endgültig behoben - also rund drei Monate nach Bekanntwerden.
Apple hat nun für alle betroffenen Systeme - iOS, iPadOS, macOS und visionOS - eine Lösung bereitgestellt. Die App nutzt jetzt HTTPS, also eine verschlüsselte Verbindung, um die Icons der Webseiten abzurufen und so die Kommunikation abzusichern.
Kein Finderlohn für die Entdeckung
Für die Sicherheitsforscher gab es trotz der Entdeckung keinen sogenannten „Bug Bounty“ von Apple. Laut dem Konzern erfüllte der Fund die Kriterien für die Belohnung nicht - ein kleiner Dämpfer für die Forscher, aber ein großes Plus an Sicherheit für alle Nutzer.
Wieso ist das Thema so brisant?
Gerade in öffentlichen Netzwerken, die oft schlecht abgesichert sind, gehören derartige Man-in-the-Middle-Attacken zu den beliebtesten Methoden von Angreifern. Wer also gerne im Café oder auf Reisen das WLAN nutzt, war durch diesen Bug besonders gefährdet.
Mit der Implementierung von HTTPS hat Apple die Lücke zwar geschlossen, aber der Fall zeigt erneut: Selbst große Tech-Konzerne tappen gelegentlich in altbekannte Fallen, wenn es um grundlegende Sicherheitsmechanismen geht.
Kommentare (0)