Gefahr für iOS-Nutzer: Kreditkartenphishing über WLAN möglich
Die Sicherheitsfirma Wandera hat in iOS eine gravierende Sicherheitslücke entdeckt. Kriminelle können die automatische Verbindungsaufnahme des iPhones mit einem WLAN-Netzwerk ausnutzen, um ein selbsterstelltes Fenster zu öffnen, in dem man seine Daten eingeben soll – gerade Apple Pay Nutzer könnte dies in die Irre führen.
Besonders in den USA ist die Nutzung von HotSpots – beispielsweise das attwifi von AT&T – sehr beliebt. Das iPhone verbindet sich komplett von alleine und man hat keine zusätzliche Mühe. Diese Funktion können sich Kriminelle derzeit zunutze machen. Geben sie sich beispielsweise als "attwifi" aus, lassen sich nach Verbindungsaufbau Ansichten auf dem Gerät öffnen (Bild oben). So lässt sich ein Apple Pay-Dialogfenster nachstellen, in dem der Nutzer seine Daten erneut eingeben soll. Natürlich kann das Fenster auch anders aussehen. Die Sache hat dazu einen großen Haken: Dieses Fenster kann man zu einem beliebigen Zeitpunkt aufrufen. Hat man also gerade mit Apple Pay bezahlt, kann es sich sofort öffnen. So soll das Opfer denken, etwas stimme mit den Kreditkarteninformationen nicht und trägt bereitwillig seine Daten ein.
Der einzige Schutz gegen solche Angriffe ist das WLAN zu deaktivieren, wenn man unterwegs ist, um den automatischen Verbindungsaufbau zu unterbinden. Wandera hat Apple bereits über die Sicherheitslücke informiert.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.
20 Kommentare zu dem Artikel "Gefahr für iOS-Nutzer: Kreditkartenphishing über WLAN möglich"
-
Lasse 5. Juni 2015 um 16:37 Uhr ·Das hat nichts mit hacken zutun! Das ist auch keine Sicherheitslücke! Es ist einfach ein WLAN Netzwerk was wie die T-Mobile Hotspots eine extra Seite öffnet bloß steht da anstat anmelden halt enter Card Info…iLike 43
-
Hans 5. Juni 2015 um 16:59 Uhr ·So ist es. Lächerlich. Man kann doch überall nach den Daten fragen. Auch wenn es tatsächlich so programmiert ist, dass es sich direkt nach dem bezahlen öffnet, so ist es keine Lücke sondern bestenfalls eine neue Phishing Idee. Hauptsache man hat es in der Überschrift und bekommt Klicks.iLike 13
-
mrpc0815 5. Juni 2015 um 17:10 Uhr ·Leute nichts für ungut, aber das ist sehr wohl eine sicherheitlücke. Denn wenn man sich als falsches WLAN Netzwerk ausgeben kann und abschließend ein Fenster erzeugen kann, indem man die Kreditkarteninformationen abfragt, ist das nicht lächerlich, sondern sollte seitens Apple schnellstmöglich unterbunden werden!iLike 14
-
Tester 5. Juni 2015 um 17:17 Uhr ·@Hans: Und was hätte Apfelpage von „Klicks“? Die App ist werbefrei.iLike 14
-
Hans 5. Juni 2015 um 17:33 Uhr ·Haha, ist das dein ernst? Also die Homepage hat mehrere Werbebanner. Daran ist auch nichts verwerflich. Wenn die App keine Werbung hat, dann ändert das nichts daran. Klicks müssen generiert werden und mit solchen Überschriften bekommt man sie. Fertig aus. Zum Thema, für mich ist eine Sicherheitslücke eine Lücke im System, mit dem die Sicherheit des Systems gefährdet ist. Dies ist hier aber nicht der Fall, da es eine aktive Aktion des Nutzers bedarf um die Daten per Hand in ein Fenster einzugeben. Ich frage mich vor allem, wie man das verhindern soll. Der Betreiber eines Wlans kann ja in sein Anmeldeformular eingeben, was er möchte. Oder sehe ich das falsch?! Ist das nicht grundsätzlich mit jedem Smartphone so und kein iOS spezifisches Problem? Wenn das nur bei iOS so funktioniert, dann ist es sicher eine andere Sache.iLike 5
-
Tester 5. Juni 2015 um 17:41 Uhr ·Es ist keine Systemlücke, davon ist nicht die Rede. Aber eine „Lücke“ in der Sicherheit. Das die Sicherheit gefährdet ist. Daran gibt es nichts zu rütteln. Dass das Ganze nur iOS betrifft, sollte relativ klar sein. Schließlich ist es auf „Apple Pay“ ausgelegt, sodass etwa nach dem Bezahlprozess mit Apple Pay die Daten verlangt werden, wie im Beitrag steht. Von daher ist davon auszugehen, dass es gezielt auf iOS Nutzer ausgerichtet ist.iLike 1
-
Tester 5. Juni 2015 um 17:48 Uhr ·Außerdem ist es allein schon aus dem Fakt eine Sicherheitslücke, als dass Apple diese beheben kann! Denn es geht hier um die „automatische Verbindungsaufnahme“ mit dem Netz, die es in iOS gibt. Sodass Nutzer gar nicht merken, dass das Popup vom WLAN kommt. DAS muss Apple fixen.iLike 2
-
Hans 5. Juni 2015 um 18:04 Uhr ·Das habe ich nicht gemeint. Sicher ist DIESE Variante auf Apple Nutzer ausgelegt aber das beantwortet nicht die Frage, ob das überall so gemacht werden kann und dann ggf. ein anderes Anmeldefenster generiert wird, das so aussieht wie bei Android Pay zum Beispiel. Und genau die Frage ob das nur iOS betrifft, wird im Artikel nicht beantwortet. Nur weil „gerade Apple Pay Nutzer“ HIERMIT in die Irre geführt werden sollen, ist es noch lange kein iOS spezifisches Problem. Wie gesagt, der Anbieter eines Wlans kann doch sicher sein Anmeldefenster gestalten, wie er möchte. Wie man das nun in Zukunft „fixen“ soll, weiß ich nicht. Aber vielleicht weiß es jemand anderes hier? Man könnte doch höchstens grundsätzlich bei jedem Wlan Anmeldefenster einen Hinweis einblenden, dass es sich hier um ein Wlan handelt und auch nur Wlan Daten eingegeben werden sollten. Oder man filtert die Begriffe wie „Kreditkarte“ „CVS“ und „Ablaufdatum“ heraus. Am Ende sieht man aber genau daran, dass es eben keine Sicherheitslücke ist, sondern eine Methode zum Phishing.iLike 4
-
-
Tester 5. Juni 2015 um 17:16 Uhr ·Es ist eine Sicherheitslücke. Punkt. Die Sicherheit der Nutzer wird gefährdet. Nur weil es sonst immer im anderen Kontext verwendet wird.iLike 5
-
-
Freak 5. Juni 2015 um 17:18 Uhr ·Mal abgesehen von den sicherheitsbedenken ist das AT&T wifi echt suuper, egal wo du in der Stadt bist oder am Flugplatz, du findest fast überall das wifi und bist immer verbunden. Das hat mir schon einige GB gesparrt. Das ist halt das Problem in Deutschland das sowas immer Jahre/Jahrzehnte braucht und wenns dan mal da ist funktionierts fast nie. Mit gefällt einfach die komplette IT/Kommunikation usw ist bei mir in den USA Jahrzehnte weiter als in Deutschland…iLike 1
-
Segafrefo 5. Juni 2015 um 17:26 Uhr ·Naja… Die Telekom/Hotspots sind auch nicht ohne und je nach Tarif kostenlos. In Ballungszentren, wie z. B. Köln, nicht schlecht. Aber wer sich in öffentliche WiFi’s ohne VPN einloggt und dann noch persönliche Daten eingibt, dem ist so oder so nicht zu helfen.iLike 3
-
-
chris 5. Juni 2015 um 17:35 Uhr ·ich für meinen Teil hab ein super starken LTE Tarif bei der Telekom und selbst wenn ich die Möglichkeit hätte mich in ein Hotspot reinzuwählen so würde ich da nie solche sensiblen Daten eingeben. Sorry da sind die Leute selber schuld und nicht AppleiLike 0
-
GF 5. Juni 2015 um 18:12 Uhr ·Zu den Kommentaren weiter oben (ich will nicht „Antworten“): Es ist erstmal keine Sicherheitslücke, das automatische Verbinden ist eine Funktion von iOS, die generell ganz nützlich ist (es wäre natürlich schön, wenn man sie ausschalten könnte). Öffentliche WLANs sind immer ein Sicherheitsproblem. Diese „Lücke“ ist keine Lücke, sondern ein normales Anmeldefenster, dass ein WLAN Betreiber anzeigen kann, wann er will, damit der Benutzer sich im WLAN anmeldet (z. B. wenn man einen zeitgeschalteten Zugang hat). Dieses Anmeldefenster ist aber eine ganz normale Seite und kann somit alles beinhalten. Dadurch kann man theoretisch alles nachbauen was man möchte. Deswegen ist es, wie oben erwähnt, keine Sicherheutslücke, sondern eine Phishing Idee, genau wie Phishingmails.iLike 4
-
Hans 5. Juni 2015 um 18:26 Uhr ·Jap.iLike 1
-
The wolf 5. Juni 2015 um 20:08 Uhr ·Einstellungen – „auf Netze hinweisen“?!?! Wenn in wird abgefragtiLike 0
-
-
MatzeWerSonst 5. Juni 2015 um 19:14 Uhr ·Ich gebe dir recht. Und wenn ich mich recht erinnere versucht mein Windows Laptop sich auch immer mit gleichnamigen WLAN Netzwerken zu verbinden was natürlich fehlschlägt weil sie ein anderes Kennwort haben als das bereits bekannte Netzwerk.iLike 0
-
Lothar 5. Juni 2015 um 19:51 Uhr ·Was soll man da noch kommentieren :(iLike 3
-
Halb&Halb 5. Juni 2015 um 23:46 Uhr ·autimatische Einwahl in freie WLAN Netze? Ich weiß nicht was manche für ne Einstellung haben und ich meine die im Phone :) 1. schalte ich unterwegs WLAN aus, spart schon mal Akku, da keine ständiges suchen im Hintergrund und 2. automatische Einwahl nur bei Verwandten/Freunde wo ich den Pin dazu bekommen habe. Hotspots haben bei mir Null-Chance.iLike 0