Acrylium
Vice Admiral
- Registriert
- Apr. 2001
- Beiträge
- 6.197
Kriminelle machen sich einen Desingfehler in der Sicherheitsarchitektur bei Apple zu nutze, der so simpel wie erschreckend ist: Man beobachtet oder filmt das Opfer und/oder bringt es dazu, seine iPhone-PIN einzutippen, bis man diese gesehen hat bzw. kennt. Dann stiehlt man das iPhone.
Darüber berichtete zuletzt das Wall Street Journal und heise.
Mit der Kombination aus iPhone und PIN ist es ganz einfach möglich, das Passwort der Apple-ID zu ändern. Dazu benötigt man tatsächlich lediglich die PIN und das iPhone. Dann erstellen die Kriminellen sich also ein eigenes Passwort zu der AppleID des Opfers. Bei aktiver 2-Faktor-Autentifizierung bekommen die den nötigen Code dafür sogar direkt auf das iPhone welche sie in Händen halten zugeschickt. Falls ein anderes vertrauenswürdiges Gerät eingespeichert ist, können sie mittels lediglich der PIN dieses löschen oder ändern.
Mit dem nun vorhandenen neuen AppleID-Passwort geht es dann weiter: Es wird ein Recovery-Key erstellt – oder falls es schon einen gibt, wird ein neuer erstellt. Dies stellt sicher, dass der Apple-Support dem Opfer nicht mehr helfen kann, weil bei aktiviertem Recovery-Key keine Accountwiderherstellung per E-Mail oder ähnliches möglich ist. Dazu wird dann zwingend der Recovery-Key gebraucht, den allerdings der Kriminelle hat. Eventuell vorhandene Sicherheits-Dongles, die seit iOS 16.3 unterstützt werden, können mittels AppleID-Passwort und PIN einfach aus dem Account zuvor entfernt werden, so dass auch diese keinen Schutz bieten. Im Anschluss werden andere dem Apple-Account zugeordnete Geräte gesperrt und auch die „Wo ist“-Funktion abgeschaltet. Somit kann das gestohlene iPhone nicht mehr gefunden oder aus der Ferne vom rechtmäßigen Besitzer gesperrt oder gelöscht werden.
Damit sperren die Kriminellen ihr Opfer faktisch vollständig und unwiderruflich aus dessen Apple-Account aus. Apple kann da nicht mehr helfen.
Bevor das gestohlene iPhone abschließend gewinnbringend verkauft wird, wird noch munter über Apple Pay eingekauft oder der Vollzugriff genutzt, um sich bei eventuellen Bezahl-Apps wie PayPal zu bedienen. Falls das Opfer die Passwörter zu einer eventuell genutzten Banking-App im iOS-Schlüsselbund aufbewahrt haben, kann über diesen Weg Zugriff auf das Bankkonto genommen und schlimmstenfalls auch auf Authentifizierungs-Apps für Bank-Transaktionen genommen werden. Somit könnten Überweisungen bis zum Bank-Limit getätigt werden.
In den USA scheint es sogar möglich zu sein, bei Apple Pay neue Kreditkarten auf den Namen des Opfers mit der PIN zu hinterlegen und dann damit einzukaufen. Ich bin nicht sicher, ob das in Deutschland möglich ist.
Falls noch eine Authentificator-App auf dem iPhone gespeichert und nur per PIN oder im Schlüsselbund gespeichertem Passwort erreichbar ist, wird’s ganz düster. Denn dann können potenziell auch alle Nicht-Apple-Accounts übernommen werden.
Das gesamte Sicherheitskonzept basiert also einzig darauf, dass ein Dieb niemals Zugriff auf die Hardware in Form des iPhones und gleichzeitig dessen PIN erhält. Es gibt keine Sicherheitsbarriere, sobald erstmal PIN und iPhone im Besitz eines Kriminellen sind, die diesen stoppen könnten, den Account komplett und unwiderruflich zu übernehmen.
Apple selbst sagt, dass solche Fälle außerordentlich selten seien. Man würde mit den Opfern fühlen. Etwas ändern wolle man aber nicht, da dies die allermeisten User stark einschränken würde. Laut dem Wall Street Journal steigt die Anzahl solcher Fälle aber rapide.
Jetzt stellt sich für uns User die Frage: Was tun, um sich gegen solch ein Szenario möglichst gut zu schützen? Mir fällt dazu nur ein, anstelle der 4- oder 6-stelligen PIN, eine alphanumerische PIN zu setzen und zu verwenden. Man braucht die in Zeiten von FaceID ja eh nur selten eintippen, da darf es also auch mal länger sein. Dann fällt es Beobachtern schwer, diese durch reines Beobachten zu erfassen. Wäre aber auch nicht unmöglich, und das hilft überhaupt nicht, falls man bei der PIN-Eingabe zuvor gefilmt wird.
Klar könnte man komplett auf Banking- und Bezahl-Apps usw. verzichten. Das wäre als Lösung aber schon sehr radikal und schränkt die Nutzung des Smartphones ja dann auch deutlich ein. Und der Verlust eines kompletten Accounts mit allen Backups, Zugängen, Nachrichten, E-Mails, Fotos, etc. wiegt auch schwer und ist für viele nicht zu ersetzen.
Wie kann man in der aktuellen Situation nun effektiv seinen Account für den Fall schützen, dass einem das iPhone inkl. PIN gestohlen werden sollte? Meint ihr, Apple überarbeitet dazu nochmal sein Sicherheitskonzept?
Darüber berichtete zuletzt das Wall Street Journal und heise.
Mit der Kombination aus iPhone und PIN ist es ganz einfach möglich, das Passwort der Apple-ID zu ändern. Dazu benötigt man tatsächlich lediglich die PIN und das iPhone. Dann erstellen die Kriminellen sich also ein eigenes Passwort zu der AppleID des Opfers. Bei aktiver 2-Faktor-Autentifizierung bekommen die den nötigen Code dafür sogar direkt auf das iPhone welche sie in Händen halten zugeschickt. Falls ein anderes vertrauenswürdiges Gerät eingespeichert ist, können sie mittels lediglich der PIN dieses löschen oder ändern.
Mit dem nun vorhandenen neuen AppleID-Passwort geht es dann weiter: Es wird ein Recovery-Key erstellt – oder falls es schon einen gibt, wird ein neuer erstellt. Dies stellt sicher, dass der Apple-Support dem Opfer nicht mehr helfen kann, weil bei aktiviertem Recovery-Key keine Accountwiderherstellung per E-Mail oder ähnliches möglich ist. Dazu wird dann zwingend der Recovery-Key gebraucht, den allerdings der Kriminelle hat. Eventuell vorhandene Sicherheits-Dongles, die seit iOS 16.3 unterstützt werden, können mittels AppleID-Passwort und PIN einfach aus dem Account zuvor entfernt werden, so dass auch diese keinen Schutz bieten. Im Anschluss werden andere dem Apple-Account zugeordnete Geräte gesperrt und auch die „Wo ist“-Funktion abgeschaltet. Somit kann das gestohlene iPhone nicht mehr gefunden oder aus der Ferne vom rechtmäßigen Besitzer gesperrt oder gelöscht werden.
Damit sperren die Kriminellen ihr Opfer faktisch vollständig und unwiderruflich aus dessen Apple-Account aus. Apple kann da nicht mehr helfen.
Bevor das gestohlene iPhone abschließend gewinnbringend verkauft wird, wird noch munter über Apple Pay eingekauft oder der Vollzugriff genutzt, um sich bei eventuellen Bezahl-Apps wie PayPal zu bedienen. Falls das Opfer die Passwörter zu einer eventuell genutzten Banking-App im iOS-Schlüsselbund aufbewahrt haben, kann über diesen Weg Zugriff auf das Bankkonto genommen und schlimmstenfalls auch auf Authentifizierungs-Apps für Bank-Transaktionen genommen werden. Somit könnten Überweisungen bis zum Bank-Limit getätigt werden.
In den USA scheint es sogar möglich zu sein, bei Apple Pay neue Kreditkarten auf den Namen des Opfers mit der PIN zu hinterlegen und dann damit einzukaufen. Ich bin nicht sicher, ob das in Deutschland möglich ist.
Falls noch eine Authentificator-App auf dem iPhone gespeichert und nur per PIN oder im Schlüsselbund gespeichertem Passwort erreichbar ist, wird’s ganz düster. Denn dann können potenziell auch alle Nicht-Apple-Accounts übernommen werden.
Das gesamte Sicherheitskonzept basiert also einzig darauf, dass ein Dieb niemals Zugriff auf die Hardware in Form des iPhones und gleichzeitig dessen PIN erhält. Es gibt keine Sicherheitsbarriere, sobald erstmal PIN und iPhone im Besitz eines Kriminellen sind, die diesen stoppen könnten, den Account komplett und unwiderruflich zu übernehmen.
Apple selbst sagt, dass solche Fälle außerordentlich selten seien. Man würde mit den Opfern fühlen. Etwas ändern wolle man aber nicht, da dies die allermeisten User stark einschränken würde. Laut dem Wall Street Journal steigt die Anzahl solcher Fälle aber rapide.
Jetzt stellt sich für uns User die Frage: Was tun, um sich gegen solch ein Szenario möglichst gut zu schützen? Mir fällt dazu nur ein, anstelle der 4- oder 6-stelligen PIN, eine alphanumerische PIN zu setzen und zu verwenden. Man braucht die in Zeiten von FaceID ja eh nur selten eintippen, da darf es also auch mal länger sein. Dann fällt es Beobachtern schwer, diese durch reines Beobachten zu erfassen. Wäre aber auch nicht unmöglich, und das hilft überhaupt nicht, falls man bei der PIN-Eingabe zuvor gefilmt wird.
Klar könnte man komplett auf Banking- und Bezahl-Apps usw. verzichten. Das wäre als Lösung aber schon sehr radikal und schränkt die Nutzung des Smartphones ja dann auch deutlich ein. Und der Verlust eines kompletten Accounts mit allen Backups, Zugängen, Nachrichten, E-Mails, Fotos, etc. wiegt auch schwer und ist für viele nicht zu ersetzen.
Wie kann man in der aktuellen Situation nun effektiv seinen Account für den Fall schützen, dass einem das iPhone inkl. PIN gestohlen werden sollte? Meint ihr, Apple überarbeitet dazu nochmal sein Sicherheitskonzept?
Zuletzt bearbeitet:
(Typo korrigiert)
