Mac Life PlusAbo testen
Sicherheitslücke in iOS 18

Gefährliche Schwachstelle in Apples Passwords-App erst nach Monaten behoben

Eine fehlende HTTPS-Verschlüsselung in Apples neuer Passwords-App ermöglichte Angreifern das Abfangen sensibler Daten. Das Problem wurde erst nach drei Monaten behoben.

Von   Uhr
2 Minuten Lesezeit
(Bild: Towfiqu barbhuiya/Unsplash)

Eine schwerwiegende Sicherheitslücke in Apples Passwords-App machte Nutzende über mehrere Monate hinweg angreifbar für Phishing-Attacken. Der Fehler wurde erst mit dem Update auf iOS 18.2 im Dezember behoben.

Quickread: Auf einen Blick
  • Apples Passwords-App sendete Logo-Anfragen unverschlüsselt
  • Angreifer im selben WLAN konnten Phishing-Attacken durchführen
  • iOS 18.2 Update behebt die Sicherheitslücke auf allen Apple-Geräten

Wie funktionierte die Sicherheitslücke?

Das Problem lag in der Art und Weise, wie die Passwords-App Logo-Dateien und Icons für gespeicherte Passwörter abrief. Diese Anfragen wurden unverschlüsselt über das Netzwerk gesendet. Dadurch konnten Angreifende, die sich im selben WLAN-Netzwerk befanden – beispielsweise in einem Café oder am Flughafen – den Browser der Nutzenden auf gefälschte Phishing-Seiten umleiten. Dort bestand die Gefahr, dass Login-Daten gestohlen werden konnten.

Von der Redaktion empfohlener Inhalt

An dieser Stelle findest du einen externen Inhalt von YouTube, der den Artikel ergänzt. Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an dritte übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wie reagierte Apple auf das Problem?

Die Sicherheitslücke wurde bereits im September 2024 von Sicherheitsforschenden des Entwicklers Mysk entdeckt und an Apple gemeldet. In den Sicherheitshinweisen zu iOS 18.2 beschreibt Apple das Problem wie folgt: „Ein Nutzer in einer privilegierten Netzwerkposition könnte möglicherweise sensible Informationen abgreifen.“ Als Lösung implementierte Apple die Verwendung des HTTPS-Protokolls für die Netzwerkkommunikation.

HTTPS erklärt!

HTTPS ist ein Sicherheitsprotokoll für die Datenübertragung im Internet. Es verschlüsselt die Kommunikation zwischen Browser und Website, sodass niemand die übertragenen Daten abfangen oder manipulieren kann. HTTPS erkennt man am Schloss-Symbol in der Adressleiste des Browsers.

Welche Systeme waren betroffen?

Die Sicherheitslücke betraf nicht nur iOS-Geräte. In den Sicherheitsupdates für macOS, iPadOS und das Vision Pro-Betriebssystem wurde der gleiche Fehler behoben. Dies zeigt, dass das Problem systemübergreifend in der Passwords-App vorhanden war.

Was bedeutet das für Apple-Nutzende?

Wenn du die aktuelle Version von iOS 18.2 oder die entsprechenden Updates für deine anderen Apple-Geräte installiert hast, bist du vor dieser spezifischen Sicherheitslücke geschützt. Der Fall zeigt jedoch, wie wichtig es ist, Betriebssystem-Updates zeitnah zu installieren und in öffentlichen WLAN-Netzwerken besonders vorsichtig zu sein.

Der Vorfall wirft auch Fragen zur Qualitätssicherung bei Apple auf. Dass eine so grundlegende Sicherheitsfunktion wie die HTTPS-Verschlüsselung in einer für die Passwortverwaltung zuständigen App fehlte, ist bemerkenswert – besonders angesichts Apples sonst so hoher Sicherheitsstandards.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Gefährliche Schwachstelle in Apples Passwords-App erst nach Monaten behoben" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Zum Verfassen von Kommentaren bitte mit deinem Mac-Life-Account anmelden.

oder anmelden mit...