Sicherheitslücke in iOS: WLAN-Trick erlaubt Kreditkartendaten-Raub

Ein jetzt bekannt gewordener Fehler in Apples mobilem Betriebssystem iOS lädt Kriminelle dazu ein, sensible Daten von Nutzern zu entwenden. Die automatische WLAN-Verbindungsaufnahme von iOS soll den ungewollten Zugriff möglich machen.

Automatische Einladung für Eindringlinge

Entwickler bemühen sich darum, dem Nutzer heutzutage möglichst viele Dinge abzunehmen. So verbinden sich moderne Smartphones automatisch mit WLAN-Netzwerken, deren Zugangsdaten einmal im System hinterlegt wurden. Für iOS-Nutzer bringt jetzt genau diese praktische Funktion ein echtes Risiko mit sich.


Laut einem Bericht von Ars Technica hat die Sicherheitsfirma Wandera einen neuen Schwachpunkt in Apples iOS-Betreibssystem entdeckt, der auf einen Fehler bei der Verbindungsaufnahme mit WLAN-Netzwerken zurückzuführen ist. Angreifern soll es so möglich sein, zu einem bestimmten Zeitpunkt manipulierte Dialoge einzublenden, die Nutzer zur Eingabe sensibler Daten bewegen sollen.

Ziemlich fiese Taktik

Der Systemfehler kann nach diesen Informationen immer dann ausgenutzt werden, wenn iOS bei aktiviertem WLAN (und der entsprechenden Standardeinstellung) Verbindung zu bekannten WLAN-Netzwerken aufnimmt. Wie die Sicherheitsforscher schreiben, wird es deshalb vor allem für Nutzer von entsprechend konfigurierten öffentlichen Hotspots gefährlich, wie sie besonders in den USA beliebt sind. In Deutschland werden dagegen aktuell keine SSIDs von Mobilfunkanbietern in iOS bereitgestellt, die einen solchen automatischen Verbindungsaufbau ermöglichen.

Angreifer mit dem nötigen Know-how können sich dank des jetzt entdeckten Fehlers als genau diese vertrauenswürdigen Zugangspunkte tarnen. Wenn dann iOS-Geräte eine Verbindung aufbauen, können manipulierte Dialoge eingeblendet werden, die dem Nutzer beispielsweise vorgaukeln, er müsse Kreditkartendaten zur Bezahlung des Hotspots neu eingeben. Es sei auch vorstellbar, dass solche gefälschten Dialoge "unmittelbar nach der Bezahlung mit Apple Pay" eingeblendet werden. Selbst wenn nur wenige Kunden eines Geschäfts auf diesen Trick reinfallen, könnten Angreifer so viele wertvolle Daten sammeln, so das Resümee der Forscher.

Kein Fix außer W-LAN aus

Aktuell ist nicht bekannt, wann Apple die entsprechende Sicherheitslücke schließen kann. Wandera hat den Konzern über den Fehler informiert. Das einzig effektive Mittel gegen die Ausnutzung des Fehlers ist dabei aber wenig praktikabel: Wer auf Nummer sicher gehen will, muss seine WLAN deaktivieren.