Veröffentlicht inDigital Life

iPhone-Nutzer müssen jetzt reagieren: Passwörter nach Apple-Fehler in Gefahr

Philipp Rall von Philipp Rall

Apple kämpft wie andere Hersteller auch regelmäßig mit Sicherheitslücken. Doch selbst, wenn diese geschlossen sind, könnte der Schaden bereits angerichtet sein.

Frau mit iPhone in den Händen
© Farknot Architect - stock.adobe.com [M]

Damals bis heute: Die Geschichte des iPhones

Das iPhone ist weit mehr als nur ein Telefon – eine Reise von der ersten Generation bis heute.

Apple hat eine Sicherheitslücke in der Passwords-App fürs iPhone behoben, durch die du etwa drei Monate lang Gefahr gelaufen bist, Opfer eines Phishing-Angriffs zu werden. Die App hat beim Ändern von Passwörtern auf unsichere Verbindungen per Hypertext Transfer Protocol (HTTP) gesetzt. Angreifer*innen konnten diese Anfragen abfangen und dich auf gefälschte Webseiten umleiten, um so an deine Zugangsdaten oder andere vertrauliche Infos zu kommen.

iPhone: Passwords-App machte Probleme

Das Problem wurde zwar schon am 11. Dezember 2024 mit dem Update auf iOS 18.2 behoben, öffentlich gemacht hat Apple die Lücke aber erst am 17. März 2025. Die Schwachstelle trägt die Bezeichnung CVE-2024-44276. Apple zufolge hätten sich Angreifer*innen mit Zugriff auf dein Netzwerk in die Verbindung einklinken und sensible Daten abgreifen können – ein Risiko, das besonders in öffentlichen WLANs (Wireless Local Area Networks) hoch ist.

Entdeckt wurde das Ganze von den Sicherheitsforschern Tommy Mysk und Talal Haj Bakry. Sie haben Apple informiert und auf Mastodon erklärt, dass die Passwords-App standardmäßig über HTTP gearbeitet hat, wenn du ein Passwort ändern wolltest. Das ist problematisch, weil HTTP unverschlüsselt ist. So konnten Angreifer*innen dich unbemerkt auf eine Phishingseite schicken, wo du dann zum Beispiel deine Login-Daten eingeben solltest. In einem kurzen Video auf YouTube zeigen die beiden, wie so ein Angriff konkret ablaufen kann.

Damit dieser Angriff funktioniert, mussten die Angreifer*innen in deinem Netzwerk aktiv sein. Das ist in öffentlichen WLANs in Cafés, Hotels oder Flughäfen relativ einfach machbar. Aber auch zu Hause reicht es oft, wenn nur ein einziges Gerät in deinem Netzwerk kompromittiert ist – dann kann darüber dein gesamter Datenverkehr manipuliert werden.

Auch interessant: iPhone: Eine Funktion unterschätzen viele – sie erlaubt praktische Tricks

Was du jetzt tun solltest

Apple hat das Problem letztlich gelöst, indem die App für das iPhone jetzt konsequent auf sichere Verbindungen per Hypertext Transfer Protocol Secure (HTTPS) setzt. Dadurch kannst du beim Passwortwechsel nicht mehr unbemerkt auf eine gefälschte Seite umgeleitet werden. Der Datenverkehr ist nun verschlüsselt, was diese Art von Angriff effektiv verhindert.

Wenngleich Apple die Sicherheitslücke bereits mit iOS 18.2 geschlossen hat, lohnt sich ein kurzer Sicherheitscheck. Hast du in den letzten Monaten über die Passwords-App Passwörter geändert, könnten deine Zugangsdaten theoretisch abgefangen worden sein – vor allem, wenn du dabei in einem öffentlichen WLAN unterwegs warst. In diesem Fall empfiehlt es sich, die betroffenen Passwörter jetzt zu ändern, besonders bei sensiblen Accounts wie E-Mail, Banking oder Cloud-Diensten.

Zudem kannst du in den Einstellungen der Passwords-App prüfen, welche Seiten du kürzlich besucht hast, um gezielt Passwörter zu kontrollieren. Nutze generell die Zwei-Faktor-Authentifizierung, wo immer sie verfügbar ist, und achte darauf, dass Webseiten immer eine HTTPS-Verbindung nutzen – erkennbar am kleinen Schloss-Symbol in der Adresszeile. So minimierst du auch in Zukunft dein Risiko, Opfer von Phishing zu werden.

Auch interessant: iPhone: Bei diesem Alarm sollten Nutzer sofort handeln

Quellen: Apple; Mastodon/@mysk

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.