Apples Funktion zum automatischen Ausfüllen der Zwei-Faktor-Authentifizierung macht die Eingabe von Verifizierungscodes, die per SMS empfangen werden, mühelos. Das Problem dabei ist, Phishing-Angreifer wissen das auszunutzen. Nun hat Apple Änderungen für die eigenen Dienste vorgenommen.
Apples Änderung bedeutet im Wesentlichen, dass jedes Mal, wenn Apple dir eine neue SMS als Form der Zwei-Faktor-Authentifizierung zusendet, die Nachricht nur noch zum automatischen Ausfüllen bei Apple-Diensten und -Websites zur Verfügung steht, da ein neuer Textbaustein hinzugefügt wurde, wodurch Phishing-Seiten, die vorgeben zu Apple zu gehören, nicht mehr darauf zugreifen können. Wie Macworld berichtet, wurde dieser Schritt bereits vor über einem Jahr vorgeschlagen – im August 2020, um genau zu sein. Die neuen Nachrichten enthalten mehr Text als üblich – und werden bereits seit einigen Wochen ausgespielt.
- Eine normale, für Menschen lesbare Nachricht, einschließlich des Codes, gefolgt von einer neuen Zeile.
- Die scoped domain als @domain.tld.
- Der Code wird noch einmal als #123456 wiederholt.
- Wenn die Website ein eingebettetes HTML-Element, einen sogenannten iframe, verwendet, wird die Quelle des iframe nach dem % aufgeführt, z. B. %ecommerce.example. (In der ursprünglichen Spezifikation ist @ angegeben; Apple scheint % für seine Texte zu verwenden).
Apple hat das Aussehen der SMS-Nachrichten zur 2FA-Abfrage geändert
Das ganze System funktioniert ähnlich wie bei Passwortmanagern und iCloud-Schlüsselbund, die ein Passwort nur auf einer bestimmten Website oder in einer zugehörigen App anzeigen. Das bedeutet, dass gefälschte Websites die Autofill-Funktion nicht nutzen können, um einen Code für die Zwei-Faktor-Authentifizierung zu akzeptieren, weil iOS, iPadOS und macOS erkennen, dass die Domains nicht übereinstimmen.
iOS, iPadOS und macOS bieten an, den Code, der zuletzt per SMS in der Nachrichten-App eingegangen ist, in jedes richtig formatierte Feld einzutragen – auch in das Feld für den Verifizierungscode einer Phishing-Website. Das macht es den Betrügern zu einfach. Wenn die Textnachricht jedoch so gestaltet ist, wie Apple es vorgeschlagen hat, bieten die Betriebssysteme ab iOS 15, iPadOS 15 und macOS 11 Big Sur das automatische Ausfüllen nur für Websites an, die dem Domainnamen entsprechen. Die Sicherheit ist nicht perfekt aber es ist ein einfaches Update, um die Abwehrmaßnahmen zu verstärken.
Wenn du also in Zukunft einen SMS-Verifizierungscode erhältst und keine automatische Ausfüllung angeboten wird, solltest du dir den Domainnamen genau ansehen. Oder noch besser: Verwende immer deine eigenen Lesezeichen oder tippe URLs händisch ein, anstatt auf Links zu klicken. (Photo by manae / Bigstockphoto)
