Passcode ausspioniert - Apple reagiert auf Bericht

[Jan Gruber]

Jan Gruber
Joanna Stern und Nicole Nguyen haben kürzlich einen Bericht im Wall Street Journal veröffentlicht - was passiert wenn der Passcode ausspioniert wird. Apple reagiert jetzt.

Ein iPhone zu stehlen wurde über die Jahre imemr unlukrativer - diverse Schutzmaßnahmen von Apple verhindern den Verkauf. Dank Wo-Ist kann es mitunter auch möglich sein das entwendete Gerät wieder aufzufinden. Die beiden Journalistinnen Joanna Stern und Nicole Nguyen haben diese Woche im Wall Street Journal aber einen interessanten Bericht veröffentlicht - um "den Diebstahl des kompletten digitalen Lebens". Die dort befragten Opfer berichten von Diebstählen an diversen Orten - nachdem der Täter auch den Passcode sehen konnte.

Der Bericht zielt vor allem auf eine Aussage ab: Der Code ist nach wie vor zu mächtig. Selbst mit Face- oder Touch-ID ist es möglich das Apple-ID Passwort schnell zurückzusetzen. Danach kann auch die Funktion "Mein iPhone suchen" deaktiviert werden. Selbst andere Geräte können aus dem Account entfernt werden, um das Opfer noch weiter auszusperren.

Weiters kommt erschwerend hinzu: Apple Pay kann genutzt werden.

Passcode ausspioniert - Apple reagiert​

Jetzt hat Apple auf den Bericht reagiert - wenn auch sehr verhalten. So gibt der Konzern an: "Sicherheitsforscher sind sich einig, dass das iPhone das sicherste mobile Endgerät ist, und wir arbeiten jeden Tag unermüdlich daran, alle unsere Nutzer vor neuen und aufkommenden Bedrohungen zu schützen.".

"Wir fühlen mit den Nutzern, die diese Erfahrung gemacht haben, und wir nehmen alle Angriffe auf unsere Nutzer sehr ernst, egal wie selten sie sind", so der Sprecher weiter. "Wir werden weiterhin die Schutzmaßnahmen verbessern, um die Sicherheit der Benutzerkonten zu gewährleisten."

Joanna Stern empfiehlt Nutzer:innen auf einen alphanumerischen Passcode zu wechseln. Dieser ist schwerer auszuspionieren. Dies könnt ihr über Einstellngen -> Face ID & Passcode -> Passcode ändern.

Via Wall Street Journal und MacRumors

Den Artikel im Magazin lesen.

 

[Manou Sakis]

So wie ich andere Berichterstattung zu diesem Artikel verstanden habe, beruht "die Masche" auf dem Ausspähen des Codes. Wie verhält sich das dann mit iPhones die Touch- oder Face-ID nutzen? Da gibt es ja nichts auszuspähen?

Ich erinnere mich, dass ich beim Registrieren meiner Apple-ID drei Sicherheitsfragen anlegen musste. Wo kommen die denn zum Tragen? Ich habe die bisher nicht gebraucht. Vielleicht wäre das eine Option für Apple, dass man zum Rücksetzen des Passworts der Apple-ID diese Fragen beantworten muss.

 

[Jan Gruber]

So wie ich andere Berichterstattung zu diesem Artikel verstanden habe, beruht "die Masche" auf dem Ausspähen des Codes. Wie verhält sich das dann mit iPhones die Touch- oder Face-ID nutzen? Da gibt es ja nichts auszuspähen?

Es kommt gar nicht zum Tragen, dass ist vor allem das Problem. Man kann die biometrische Eingabe ja überspringen und den Code einfach eingeben. Bzw wenn die biometrische nicht klappt es mit Code machen. Und schon ist man drinnen. Für Apple ID Passwort zurücksetzen muss man auch nur den Code des Geräts eingeben - und ggf. 2 Faktor, der ja auch auf das gleiche Gerät kommt.

 

[Balkenende]

Was verstehe ich nicht, was ist neu? Bin ich heute von gestern?

Das ist seit jeher doch das Thema, jemand nutzt eine PIN am Bankautomaten, jemand gibt sein Passwort am Computer ein, den Code am iPhone, Androiden, was auch immer - und wenn danach das Gerät geklaut wird, hat der Dieb Zugriff.

Und natürlich ist ein längerer, vor allem alphanumerischer Code sicher.

Am sichersten ist immer noch, einen Code welcher Art, selbst eine und gerade eine kurze PIN immer verdeckt einzugeben.

Was ist daran neu - was übersehe ich hier?

Für mich ist das jetzt keine so keine richtige Meldung, wobei ich zugebe, ggf. ist es nie schädlich, immer wieder auch etwa uninformierte andere auf solches hinzuweisen oder zu erinnern.

Nur das ist doch kein iPhone - Passcode Thema alleine.

 

[doc_holleday]

Nein, das ist nicht neu.

Das ist mehr eine Erinnerung, dass trotz FaceID, 2FA etc. der Passcode immer noch schützenswert ist. Eben weil damit viel möglich ist.

 

[Blurryface]

Es kommt gar nicht zum Tragen, dass ist vor allem das Problem. Man kann die biometrische Eingabe ja überspringen und den Code einfach eingeben. Bzw wenn die biometrische nicht klappt es mit Code machen. Und schon ist man drinnen. Für Apple ID Passwort zurücksetzen muss man auch nur den Code des Geräts eingeben - und ggf. 2 Faktor, der ja auch auf das gleiche Gerät kommt.

Ich glaube es ging eher darum, wie der Code eines iPhone Nutzers der Touch oder Face ID verwendet überhaupt erstmal ausgespäht werden kann. Gibt der Nutzer den Passcode zum Entsperren des Gerätes ja gar nicht ein.

 

[Mitglied 233949]

Ich kann gar nicht mehr zählen wie oft ich Kollegen, Freunde, Bekannte, aber auch Fremde im Zug ungewollt dabei beobachtet habe wie sie ihren vierstelligen numerischen Code eingeben und diesen dann wusste.

Face ID wird nicht genutzt, weil man glaubt es ist unsicher.


Wenn der Angreifer das Passwort kennt hat das System keine Sicherheitslücke.

 

[Bob___]

Ich glaube es ging eher darum, wie der Code eines iPhone Nutzers der Touch oder Face ID verwendet überhaupt erstmal ausgespäht werden kann. Gibt der Nutzer den Passcode zum Entsperren des Gerätes ja gar nicht ein.

Unter normalen Umständen muss der User nicht ständig seinen Code eingeben. Aber just vor 1 Woche zum Karneval... Leute sind verkleidet, haben Brillen auf, Perücken, irgendein Gedöns am oder um den Kopf... da konnte man schon häufiger sehen, dass die Leute vermehrt den Code eingebeben mussten.

 

[Manou Sakis]

Es kommt gar nicht zum Tragen, dass ist vor allem das Problem. Man kann die biometrische Eingabe ja überspringen und den Code einfach eingeben. Bzw wenn die biometrische nicht klappt es mit Code machen. Und schon ist man drinnen.

Das ist richtig, anstatt Biometrik den Code eingeben um das Gerät ist möglich. Ich meinte aber das vorhergehende Codeausspähen. Wenn der Benutzer das Gerät mit Face- bzw. Touch-ID entsperrt kann ja kein Code ausgespäht werden.

 

[MichaNbg]

Für mich konzentriert sich die Diskussion gerade um einen eigentlich gar nicht so wichtigen Nebenkriegsschauplatz: ob ich den Code ausspähen kann oder wie häufig ich ihn eigentlich benutze.
Das eigentlich drängende Problem ist doch aber, dass ich mit diesem Code, der doch nur zum Entsperren eines einzelnen Endgeräts da sein sollte, auch gleich die gesamte Identität übernehmen kann. Abhängig davon, was dann zusätzlich alles über den iCloud eMail-Account läuft, fällt dann nicht nur die Apple Identität sondern auch gleich noch das gesamte weitere digitale Leben.

Nein, das ist jetzt nichts Neues und natürlich einem Kniefall der Anwenderbequemlichkeit geschuldet. Nichtsdestotrotz aber ein von Apple bewusst eingegangen Sicherheitsproblem. Wie man es besser könnte, ohne die User Experience negativ zu beeinflussen... gute Frage. Zumindest falls der Anwender nur dieses eine Endgerät von Apple und auch nur diese eine Telefonnummer besitzt, was ein gar kein so seltenes Szenario sein dürfte.

Dennoch ist es eine bekannt offene "Lücke", derer sich die allermeisten Anwender so gar nicht bewusst sind.

 

[Bob___]

Eine Idee wäre, dass wenn auf dem Device mehrere Aktionen in "kurzer" Zeit passieren (z.B. Code Änderung, Apple-ID Änderung, neue Touch-ID/Face-ID Einstellung), dass dann sukessiv mehr "Hürden" zur Authentifizierung dazu kommen.
Sicher, das ist dann auch kein perfekter Schutz, aber vielleicht doch "der" kleine Unterschied, der einen Diebstahl-Opfer mehr Zeit gibt zu reagieren.

 

[MichaNbg]

Dies oder bsp für eine Passwortrücksetzung der AppleID zwingend einen harten zweiten Faktor, der nicht am iPhone hängen darf. Eine Rufnummer, die nicht am iPhone verwendet wird. Ein Recovery Key der getrennt aufbewahrt wird. Irgendwelche "Sicherheitsfragen" sind in der Regel nutzlos, da fast alle immer beantwortet werden können, sobald man einmal Zugang zu einem persönlichen Device hat und damit auch Zugriff auf eMails, Dokumente, etc.pp.

Hat man einmal Zugang zum iPhone, iPad, Mac ... ist eben nicht mehr nur das jeweilige Device "weg" sondern gleich die gesamte digitale Identität. Im Zweifel das gesamte Leben offengelegt. Denke, es wäre schon viel gewonnen, wenn sich das Otto und Erna mal ganz bewusst machten.

 

[Bob___]

Auf der anderen Seite: Was war denn die Legacy Alternative? Dass man all seine wichtigen Daten eventuell in der Brieftasche mit sich rumgeschleppt hat... ohne großen Zugriffsschutz. Jetzt hat man immerhin einen Code (wenn man diesen eingerichtet hat).

 

[access]

Was verstehe ich nicht, was ist neu? Bin ich heute von gestern?

Das ist seit jeher doch das Thema, jemand nutzt eine PIN am Bankautomaten, jemand gibt sein Passwort am Computer ein, den Code am iPhone, Androiden, was auch immer - und wenn danach das Gerät geklaut wird, hat der Dieb Zugriff.

Und natürlich ist ein längerer, vor allem alphanumerischer Code sicher.

Am sichersten ist immer noch, einen Code welcher Art, selbst eine und gerade eine kurze PIN immer verdeckt einzugeben.

Was ist daran neu - was übersehe ich hier?

Für mich ist das jetzt keine so keine richtige Meldung, wobei ich zugebe, ggf. ist es nie schädlich, immer wieder auch etwa uninformierte andere auf solches hinzuweisen oder zu erinnern.

Nur das ist doch kein iPhone - Passcode Thema alleine.

Stimmt, trifft auf alle Geräte zu die man am Ende mit einem Passwort entsperren kann. Da müsste man schon schärfere Geschützte auffahren.

 

[AndaleR]

Das Eingeben des Passcodes ist kein Problem - der Zugriff mit diesem auf eigentlich alles, was auf dem iPhone ist, ist das Problem.

Der Bereich der Einstellungen sollte extra abgesichert werden. Oder auch nur Teilbereiche (Passwörter, Zahlungsdaten, usw.). Die meisten müssen ja nicht täglich 38x in die Einstellungen.

Ich finde die 2FA von Apple ja jetzt auch nicht immer gut gelöst? Erst gestern am MacBook etwas gemacht, das mit dem sechsstelligen Code bestätigt werden muss. Und? Dieser kommt auf Apple Watch, iPhone, iPad UND MacBook…

 

[Jan Gruber]

Ich denke sie gehen da in ne gute Richtung, der Passcode ist aber noch viel zu stark.
Dass sie teilweise nach den Passwörtern anderer Geräte fragen ist gut, Die physischen Sicherheitsschlüssel jetzt sind auch gut, das kann man Otto-Normal-Verbraucher:in halt aber auch nicht antun ...

 

[Bob___]

Das Eingeben des Passcodes ist kein Problem - der Zugriff mit diesem auf eigentlich alles, was auf dem iPhone ist, ist das Problem.

Wie ist das denn bei den Banking Apps? In der Regel sind diese ja noch mal zusätzlich abgesichert, häufig aber durch Face-ID. Wenn ein Angreifer aber den Code herausbekommt, Face-ID auf sein eigenes Gesicht abändert, wird die Banking App dann diesen Angreifer auch "hereinlassen"?

 

[Odin.666]

Wie ist das denn bei den Banking Apps? In der Regel sind diese ja noch mal zusätzlich abgesichert, häufig aber durch Face-ID. Wenn ein Angreifer aber den Code herausbekommt, Face-ID auf sein eigenes Gesicht abändert, wird die Banking App dann diesen Angreifer auch "hereinlassen"?

Und dann? Was kann Angreifer in den Banking App machen?

 

[Bob___]

Und dann? Was kann Angreifer in den Banking App machen?

Darauf wollte ich doch hinweisen. Normalerweise kann der Angreifer nicht viel dort machen und selbst Face-ID/Touch-ID sollte nicht mehr funktionieren um in die Banking App reingelassen zu werden!

 

[AndaleR]

@Bob___ Also, ich komme in meine Banking-App mit FaceID. Wird es nicht erkannt, kommt kein iPhone-Code. Dann kann ich es mit dem App-Passwort öffnen.

Allerdings wäre das in Apples Schlüsselbund gespeichert… Worauf man mit dem iPhone-Code/FaceID wieder Zugriff erhält.

@Odin.666 In der Banking-App das Konto leer räumen, indem Überweisungen getätigt werden? Geht ja relativ einfach, wenn die zweite App für den Überweisungs-Code auch auf dem Gerät ist.