Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,
Um die Sicherheit zu erhöhen, setzt Apple seit einer geraumen Zeit auf die sogenannte Zwei-Faktor-Authentifizierung. Damit soll Unbefugten der Zugriff auf die persönlichen Daten verwehrt werden. Wenn kein vertrauenswürdiges Gerät in der Nähe ist, wird der Bestätigungscode mithilfe der hinterlegten Telefonnummer als SMS verschickt.
Apple hat Ablauf geändert
Problematisch ist an dieser Sache nur, dass Angreifer versuchen, den User über einen manipulierten Link auf eine manipulierte Webseite. Deshalb hat der Konzern den Inhalt der verschickten SMS geändert:

Nun fragt man sich, was Apple zur Änderung motiviert hat. Grund ist das automatische Ausfüllen der via SMS empfangenen Codes in das entsprechend formatierte Feld. Weisen diese nicht das von Apple geforderte Format an, wird das automatische Ausfüllen unter iOS 15, iPadOS 15 und ab macOS 11 Big Sur nicht mehr angeboten.
So muss das Format aussehen
Nun fragt man sich, wie das Format aussieht. Wie man oben im Screenshot sieht, ist das recht einfach:
- Eine vom Menschen lesbare Standardnachricht, einschließlich des Codes, gefolgt von einer neuen Zeile.
- Die Bereichsdomain als
@domain.tld
. - Der Code wiederholte sich erneut als
#123456
. - Wenn die Website ein eingebettetes HTML-Element verwendet, das als iframe bezeichnet wird, wird die Quelle des iframes nach % aufgelistet, z. B.
%ecommerce.example
. (Die ursprüngliche Spezifikation gibt @ an; Apple scheint % für seine Texte zu verwenden.)
Die Lösung ist aus sicherheitstechnischer Sicht perfekt, es verstärkt aber den defensiven Ansatz
Als User muss man nichts machen
Die Änderung im Hintergrund hat Auswirkungen für die Sicherheit, als Anwender muss man aber nichts machen. Für Euch als User bleibt alles gleich. ich möchte aber darauf verweisen, dass Apple seit iOS 15 in das Betriebssystem einen Codegenerator implementiert hat. Dieser ist im Zweifelsfalle die bessere Wahl, die Umstellung erfordert aber schlicht Zeit.
Was sagt Ihr dazu? Wart Ihr schon einmal Opfer einer Phishing-Attacke? Schreibt mir Euer Feedback in die nachfolgenden Kommentare
Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels
Spendiere mir einen Kaffee und unterstütze damit meinen Blog und mich bei der Arbeit
Monatlich spenden
Jährlich spenden
Wähle einen Betrag aus
Oder gib einen individuellen Betrag ein
Wir wissen deine Spende sehr zu schätzen.
Wir wissen deine Spende sehr zu schätzen.
Wir wissen deine Spende sehr zu schätzen.
SpendenMonatlich spendenJährlich spenden
Kommentar verfassen