Apple überarbeitet seine 2FA und blockiert das automatische Ausfüllen von SMS bei Phishing-Attacken

Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,

Um die Sicherheit zu erhöhen, setzt Apple seit einer geraumen Zeit auf die sogenannte Zwei-Faktor-Authentifizierung. Damit soll Unbefugten der Zugriff auf die persönlichen Daten verwehrt werden. Wenn kein vertrauenswürdiges Gerät in der Nähe ist, wird der Bestätigungscode mithilfe der hinterlegten Telefonnummer als SMS verschickt.

Apple hat Ablauf geändert

Problematisch ist an dieser Sache nur, dass Angreifer versuchen, den User über einen manipulierten Link auf eine manipulierte Webseite. Deshalb hat der Konzern den Inhalt der verschickten SMS geändert:

Nun fragt man sich, was Apple zur Änderung motiviert hat. Grund ist das automatische Ausfüllen der via SMS empfangenen Codes in das entsprechend formatierte Feld. Weisen diese nicht das von Apple geforderte Format an, wird das automatische Ausfüllen unter iOS 15, iPadOS 15 und ab macOS 11 Big Sur nicht mehr angeboten.

So muss das Format aussehen

Nun fragt man sich, wie das Format aussieht. Wie man oben im Screenshot sieht, ist das recht einfach:

  • Eine vom Menschen lesbare Standardnachricht, einschließlich des Codes, gefolgt von einer neuen Zeile.
  • Die Bereichsdomain als @domain.tld.
  • Der Code wiederholte sich erneut als #123456.
  • Wenn die Website ein eingebettetes HTML-Element verwendet, das als iframe bezeichnet wird, wird die Quelle des iframes nach % aufgelistet, z. B. %ecommerce.example. (Die ursprüngliche Spezifikation gibt @ an; Apple scheint % für seine Texte zu verwenden.)

Die Lösung ist aus sicherheitstechnischer Sicht perfekt, es verstärkt aber den defensiven Ansatz

Als User muss man nichts machen

Die Änderung im Hintergrund hat Auswirkungen für die Sicherheit, als Anwender muss man aber nichts machen. Für Euch als User bleibt alles gleich. ich möchte aber darauf verweisen, dass Apple seit iOS 15 in das Betriebssystem einen Codegenerator implementiert hat. Dieser ist im Zweifelsfalle die bessere Wahl, die Umstellung erfordert aber schlicht Zeit.

Was sagt Ihr dazu? Wart Ihr schon einmal Opfer einer Phishing-Attacke? Schreibt mir Euer Feedback in die nachfolgenden Kommentare

Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels

Einmalig
Monatlich
Jährlich

Spendiere mir einen Kaffee und unterstütze damit meinen Blog und mich bei der Arbeit

Monatlich spenden

Jährlich spenden

Wähle einen Betrag aus

€5,00
€15,00
€100,00
€5,00
€15,00
€100,00
€5,00
€15,00
€100,00

Oder gib einen individuellen Betrag ein


Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

SpendenMonatlich spendenJährlich spenden

Kommentar verfassen

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑

appletechnikblog
%d Bloggern gefällt das: