Geschrieben von: Lars Vollmer
Eine kürzlich entdeckte Sicherheitslücke in Apples Passwort-App hat iOS 18-Nutzer monatelang einem erhöhten Phishing-Risiko ausgesetzt. Die Ursache: Die App verwendete unsichere HTTP-Verbindungen, wodurch Angreifer Nutzer auf gefälschte Webseiten umleiten konnten. Apple hat die Lücke zwar behoben, doch die späte Bekanntmachung löste Kritik aus. Ein sofortiges Update auf die neueste iOS-Version wird daher dringend empfohlen.
Sicherheitslücke in der Apple Passwort-App behoben
- Unsichere HTTP-Verbindungen ermöglichten Phishing-Angriffe.
- Millionen Nutzer waren von der Sicherheitslücke betroffen.
- Empfohlenes Update auf iOS 18.2 behebt das Problem.
Wie funktionierte der Angriff?
Die Sicherheitslücke in Apples Passwort-App, die ab dem Betriebssystem iOS 18 existierte, beruhte auf der Verwendung von unverschlüsseltem HTTP statt HTTPS für den Datenverkehr mit über 130 Webseiten. Konkret holte die App Website-Icons und Links für Passwort-Resets über HTTP ab. Dies erlaubte Angreifern in demselben Netzwerk – etwa in öffentlichen WLANs von Cafés oder Flughäfen – Man-in-the-Middle-Angriffe.
Sie fingen die unverschlüsselten HTTP-Anfragen ab und leiteten den Nutzer unbemerkt auf eine manipulierte Phishing-Seite um. Die Betrugsmasche funktionierte nur, wenn die App aktiv genutzt wurde und der Nutzer einen manipulierten Link in der App anklickte. Apple behob die Schwachstelle im Dezember 2024 mit iOS 18.2, indem HTTPS zum Standard wurde; die öffentliche Bekanntmachung erfolgte aber erst im März 2025.
Die Sicherheitslücke betraf iPhones, iPads und Macs mit iOS 18 bzw. macOS Sequoia. Nutzer sollten ihre Geräte umgehend aktualisieren und im öffentlichen WLAN besondere Vorsicht walten lassen. Die Entdeckung der Lücke geht auf zwei Sicherheitsforscher zurück, die Apple bereits im September 2024 informierten. In einem Post auf X demonstrieren sie Sicherheitslücke in der Apple Passwort-App:
🚨 Apple's Passwords app was vulnerable to phishing attacks in iOS versions prior to 18.2. Its functionality to change a password from within the app used to open an account's website via insecure HTTP by default. This allowed an attacker with privileged network access to easily… pic.twitter.com/VrqFWSk4z1
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 18, 2025
Schutz vor Phishing: So schützt du dich
Die wichtigste Maßnahme zum Schutz vor den Folgen dieser Sicherheitslücke ist ein unverzügliches Update auf iOS 18.2. Zusätzlich sollten Nutzer besonders achtsam sein, wenn sie die App in öffentlichen WLAN-Netzwerken verwendeten. Hier ist die Gefahr eines Man-in-the-Middle-Angriffs besonders hoch.
Phishing ist eine Betrugsmasche, bei der Angreifer sich als vertrauenswürdige Institutionen (Banken, Behörden etc.) ausgeben, um an persönliche Daten wie Passwörter und Kreditkartennummern zu gelangen. Dies geschieht meist über manipulierte E-Mails, Webseiten oder Nachrichten.
Generell ist es ratsam, dass du in öffentlichen Netzwerken niemals Online-Banking oder Passwortänderungen durchführst. Solltest du die Passwort-App zwischen September und Dezember 2024 in einem öffentlichen Netzwerk genutzt haben, ist ein vorsorglicher Wechsel deiner Passwörter für alle wichtigen Online-Accounts dringend empfohlen. Sei zudem skeptisch gegenüber verdächtigen Links, die innerhalb der App angezeigt werden, und klicke diese nicht ohne vorherige Prüfung an.
