Als iPhone-Besitzer kennen Sie das: Beim Einkauf in iTunes, App Store oder Apps poppt ständig die Aufforderung zur Apple-ID-Eingabe auf. Sie tippen Ihr Passwort ein – Routine. Aber was, wenn dieses Pop-up gefälscht ist?
Genau das hat App-Entwickler Felix Krause in einem detaillierten Proof-of-Concept nachgewiesen. Mit unter 30 Codezeilen schafft er ein täuschend echtes Phishing-Pop-up, das wie Apples offizielle Anfrage wirkt. Sein Vergleich zeigt: Die Fälschung ist nahezu identisch mit dem iTunes-Store-Login.
Das Kernproblem: iOS unterscheidet Benachrichtigungen von Apps und System-UI nicht klar genug. „iOS sollte System- und App-Elemente strikt trennen, damit jeder Nutzer sofort merkt, wenn etwas faul ist“, fordert Krause.
Siehe auch: Das Geschäft mit Malware – Vorbereitung auf große Cyberangriffe warnt das National Cyber Security Centre. Equifax schließt Webseite mit Malware-Downloads.
"Ein kniffliges Problem, das selbst Webbrowser noch bekämpfen“, ergänzt Krause. Vorschläge: Passwörter nur in der Einstellungs-App eingeben oder Apples Pop-ups mit einem offiziellen Symbol (z. B. Ausrufezeichen) kennzeichnen.
Sofort-Tipps zur Abwehr: Drücken Sie die Home-Taste. Schließt sich App und Dialog? Phishing! Bleibt alles sichtbar? Echtes System-Pop-up.
Solche Angriffe brauchen eine bösartige App, die den App-Store-Check passiert. Apple reagiert schnell auf Verstöße, doch Krause warnt: „Böswillige finden immer Wege, Regeln zu umgehen.“