Passcode ausspioniert - Apple reagiert auf Bericht

[Odin.666]

@Bob___ Also, ich komme in meine Banking-App mit FaceID. Wird es nicht erkannt, kommt kein iPhone-Code. Dann kann ich es mit dem App-Passwort öffnen.

Allerdings wäre das in Apples Schlüsselbund gespeichert… Worauf man mit dem iPhone-Code/FaceID wieder Zugriff erhält.

@Odin.666 In der Banking-App das Konto leer räumen, indem Überweisungen getätigt werden? Geht ja relativ einfach, wenn die zweite App für den Überweisungs-Code auch auf dem Gerät ist.

Ohne Bankkarte? Und Überweisungcode App hab ich nicht sondern Chip-Tan Generator

 

[AndaleR]

Ja, ohne Bankkarte.

In der normalen Banking-App wird die Überweisung vorbereitet - für die Freigabe gibt es statt TAN eine eigenständige App, in die dann kurz gewechselt wird, man den Auftrag frei gibt und dann landet man wieder in der Banking-App, die die Ausführung dann frei gibt.

Ein bequemer Weg, so kann man auch unterwegs mal was überweisen, wenn der TAN-Generator zuhause liegt. Oder er im Büro liegt, man aber von der Couch aus was überweisen will...

 

[Bob___]

@Bob___ Also, ich komme in meine Banking-App mit FaceID. Wird es nicht erkannt, kommt kein iPhone-Code. Dann kann ich es mit dem App-Passwort öffnen.

Allerdings wäre das in Apples Schlüsselbund gespeichert… Worauf man mit dem iPhone-Code/FaceID wieder Zugriff erhält.

Mir ist auch keine Banking App bekannt, die sich mit dem Code des Gerätes aufschließen lässt (es sei denn der User war so unvorsichtig und hat das App-Passwort identisch zum Code festgelegt... ja, auch solche User gibt es leider).
Aber die Banking Apps sind schon mal so sicher entwickelt, dass Sie Face-ID nicht mehr als Zugangskriterium zulassen, wenn Face-ID zuvor deaktiviert und anschließend mit einem neuen Scan neu angelegt wurde. Dann muss das App-Passwort für die Banking App eingegeben werden bzw. man muss sich sogar per MFA anmelden.

 

[MichaNbg]

Auf der anderen Seite: Was war denn die Legacy Alternative? Dass man all seine wichtigen Daten eventuell in der Brieftasche mit sich rumgeschleppt hat... ohne großen Zugriffsschutz. Jetzt hat man immerhin einen Code (wenn man diesen eingerichtet hat).

Naja, das ist ja bereits der Punkt. "Früher" hatte man das alles nicht "in der Brieftasche" dabei. Weder die gesamte Post der letzten 20 Jahre noch alle Dokumente von der Geburtsurkunde bis zum letzten Steuerbescheid

Geht ja gar nicht darum, dass es gefährlich ist, sich zu digitalisieren. Es geht darum, dass der eigentlich gerätespezifische Code viel zu mächtig ist und dies kaum jemand realisiert. Um das mal in Vergleich zur Brieftasche zu setzen:
Jemand späht den PIN Code deiner Bankkarte aus. Am Automaten oder im Supermarkt oder... und klaut dann deinen Geldbeutel, könnte er damit dann auch deine Alarmanlage deaktivieren, dein Haus aufschließen, das Foto auf deinem Personalausweis ändern, dein Auto auf sich umschreiben und sich von deiner Frau scheiden lassen.

Dieser Code entsperrt nicht nur dein iPhone sondern auch deine AppleID. Und je nachdem wie tief du im Ökosystem steckst ... hängt da verdaaaaaaaammt viel dran (eMail-Account, Dokumenten-Cloud, Rücksetzmöglichkeit für alle Online Accounts die man so hat, ...).
Und jenachdem wie die Apps gestrickt sind, kriegst du damit dann im Zweifel über den Umweg FaceID/TouchID auch allerhand andere Apps auf. Bis hin zu Banking Apps, deiner elektronischen Gesundheitsakte, usw. usw.
Für TouchID reicht ein zusätzlicher Finger, FaceID lässt sich - afaik - auch ohne Neueinrichtung umprogrammieren.

Nur weil jemand deinen iPhone Code hat. Weil es eben nicht nur der Code zu deinem iPhone ist wie es früher der Code zum Handy/der SIM war.


An der Nummer mit TouchID/FaceID wirst du vermutlich nicht vorbei kommen. Aber dass der Code auch zum Zurücksetzen deiner AppleID ausreicht ... hartes Brot. Da müsste eigentlich eine andere Lösung her.

 

[AndaleR]

@Bob___ Was dann aber immer noch den Weg über den Schlüsselbund zulassen würde. So wäre es z.B. bei mir.

Ich habe mir das YouTube-Video zufällig einen Tag vorher angesehen, bevor es hier im Forum aufgetaucht ist. Da habe ich mir dann auch gedacht: Hey, eigentlich stimmt es schon - das System ist zwar sicher, hat aber durchaus große Lücken. Der Passcode ermöglicht Zugriff auf alles, was eigentlich wichtig ist. Hat man den, komme ich überall hin.

Vielleicht kommt jetzt auch Apple durch dieses Video und die Fälle in's grübeln - und überlegt, wie man es absichern kann.

Allerdings: Das alles ist doch sicherlich kein reines Apple-Problem? Oder ist Android hier so viel sicherer? Dort wird es ja auch mit Gesichtserkennung/Fingerabdruck gehandhabt - und dann einen Gerätecode?

 

[Odin.666]

Ja, ohne Bankkarte.

In der normalen Banking-App wird die Überweisung vorbereitet - für die Freigabe gibt es statt TAN eine eigenständige App, in die dann kurz gewechselt wird, man den Auftrag frei gibt und dann landet man wieder in der Banking-App, die die Ausführung dann frei gibt.

Ein bequemer Weg, so kann man auch unterwegs mal was überweisen, wenn der TAN-Generator zuhause liegt. Oder er im Büro liegt, man aber von der Couch aus was überweisen will...

Ach echt jetzt? Welche Bank? Sowas verlasse mich erst recht nicht. Wenn Handy defekt ist dann kann ich immer noch mit Laptop Bankgeschäfte tätigen.

@Bob___ Was dann aber immer noch den Weg über den Schlüsselbund zulassen würde. So wäre es z.B. bei mir.

Ich habe mir das YouTube-Video zufällig einen Tag vorher angesehen, bevor es hier im Forum aufgetaucht ist. Da habe ich mir dann auch gedacht: Hey, eigentlich stimmt es schon - das System ist zwar sicher, hat aber durchaus große Lücken. Der Passcode ermöglicht Zugriff auf alles, was eigentlich wichtig ist. Hat man den, komme ich überall hin.

Vielleicht kommt jetzt auch Apple durch dieses Video und die Fälle in's grübeln - und überlegt, wie man es absichern kann.

Allerdings: Das alles ist doch sicherlich kein reines Apple-Problem? Oder ist Android hier so viel sicherer? Dort wird es ja auch mit Gesichtserkennung/Fingerabdruck gehandhabt - und dann einen Gerätecode

Android ist überhaupt nicht viel sicherer und viel Sicherheitanfälliger

 

[MichaNbg]

Ach echt jetzt? Welche Bank? Sowas verlasse mich erst recht nicht. Wenn Handy defekt ist dann kann ich immer noch mit Laptop Bankgeschäfte tätigen.

Oh da würdest du hier im Forum, speziell im Banking-Thread, aber ganz viel Widerspruch ernten 😁

Android ist überhaupt nicht viel sicherer und viel Sicherheitanfälliger

Das mag vielleicht in den Köpfen der Menschen so sein, entspricht aber nicht der Realität. Gut, ich weiß nicht wie es jetzt Anfang 2023 ist. Aber 2020/2021 waren ausnutzbare Exploits für Android deutlich teurer am Markt als für iOS. Womit eigentlich schon alles gesagt war.

Wobei man bei Android eben aufpassen muss: Das gilt (vor allem) für Googles Core Komponenten und Stock Android. Hersteller die Customizen und Security Patches nicht oder verspätet freigeben haben ganz viel Gelegenheit eigenen Unsinn zu treiben.

Die in den Köpfen - gerade im Apfellager - festgesetzte Gleichung "iOS ist sicherer als Android" stimmt nicht (mehr). Sofern sie überhaupt jemals stimmte.

 

[Odin.666]

Das Punkt aber den meistens Android Geräte bekommen nicht 5 Jahre oder mehr Update angeboten gerade Sicherheitspatch wie bei IOS. Nächste Problem wäre diese Sideload also fremde Apk von unbekannten Quellen hebelt auch diese Sicherheit aus. Und sowas geht oder gibt bei IOS nicht. Hier hab ich was gefunden. Gut möchte dann nicht hier langsam zu Banking Thread verkommen lassen.

 

[MichaNbg]

Nächste Problem wäre diese Sideload also fremde Apk von unbekannten Quellen hebelt auch diese Sicherheit aus.

Wenn ich durch "sideloading" das Betriebssystem und Drittapplikationen kompromittieren kann, dann ist das Betriebssystem nicht "sicher". Wenn ich diesen Kanal schließen muss um "sicher" zu sein, dann nur weil ich entweder meinem eigenen Produkt nicht vertraue oder weiß, welche gravierenden Lücken ich eigentlich im Bauch habe und diese anderweitig schützen muss.

Hier entlarvt sich Apple IMHO übrigens selbst, wenn sie in Sideloading eine Gefahr für die Betriebssystemintegrität ableiten und damit argumentieren.

Das Punkt aber den meistens Android Geräte bekommen nicht 5 Jahre oder mehr Update angeboten gerade Sicherheitspatch wie bei IOS.

Verstehe den Punkt, kann man auch so setzen. Ist aber auch kein Argument für die "Sicherheit" iOS sondern eher ein Punkt gegen die OS-Pflege von Google. Und für die allerallermeisten Menschen, die ihr Device alle zwei bis drei Jahre tauschen auch nicht relevant.

Sind jetzt aber schon ein wenig abgedriftet. Tonic ist eigentlich die Mächtigkeit des iPhone-Codes, der über reines Device Management hinaus bis zur gesamten digitalen Identität Auswirkungen hat.

 

[Odin.666]

Wenn ich durch "sideloading" das Betriebssystem und Drittapplikationen kompromittieren kann, dann ist das Betriebssystem nicht "sicher". Wenn ich diesen Kanal schließen muss um "sicher" zu sein, dann nur weil ich entweder meinem eigenen Produkt nicht vertraue oder weiß, welche gravierenden Lücken ich eigentlich im Bauch habe und diese anderweitig schützen muss.

Hier entlarvt sich Apple IMHO übrigens selbst, wenn sie in Sideloading eine Gefahr für die Betriebssystemintegrität ableiten und damit argumentieren.


Verstehe den Punkt, kann man auch so setzen. Ist aber auch kein Argument für die "Sicherheit" iOS sondern eher ein Punkt gegen die OS-Pflege von Google. Und für die allerallermeisten Menschen, die ihr Device alle zwei bis drei Jahre tauschen auch nicht relevant.

Sind jetzt aber schon ein wenig abgedriftet. Tonic ist eigentlich die Mächtigkeit des iPhone-Codes, der über reines Device Management hinaus bis zur gesamten digitalen Identität Auswirkungen hat.

Es liegt nicht an OS-Pflege von Google denn Pixel Geräte hauen fleißig Update raus. Handyhersteller wie Samsung etc. tun echt schwer anzupassen. Google möchte gerne Hersteller erzwingen wenigstens Sicherheitspatch monatlich pushen was es kläglich gescheitert sind.

 

[MichaNbg]

Es liegt nicht an OS-Pflege von Google denn Pixel Geräte hauen fleißig Update raus. Handyhersteller wie Samsung etc. tun echt schwer anzupassen. Google möchte gerne Hersteller erzwingen wenigstens Sicherheitspatch monatlich pushen was es kläglich gescheitert sind.

Zahlt ja letztendlich auf meinen Punkt ein

 

[Sequoia]

Hier entlarvt sich Apple IMHO übrigens selbst, wenn sie in Sideloading eine Gefahr für die Betriebssystemintegrität ableiten und damit argumentieren.

Jetzt, wo das Zitat hier im Textfeld ist, frage ich mich direkt, warum ich überhaupt antworte

Aber: das sagen sie nicht. Sie sagen, dass die fremden Apps eine Gefahr für die Integrität der Nutzerdaten sind, nicht, dass sie eine Gefahr für die Integrität des OS sind.

Die Lösung wäre, ein Passwort zu wählen, dass sich eben durch Länge und Komplexität auszeichnet und seitens Apple eben ein solches vorauszusetzen, nur durch diverse Hinweise usw. ein kurzes zuzulassen.

Aber 2020/2021 waren ausnutzbare Exploits für Android deutlich teurer am Markt als für iOS. Womit eigentlich schon alles gesagt war.

Womit rein gar nichts gesagt ist. Zumindest nicht, was Sicherheit von OS bescheinigt.

 

[AndaleR]

Ach echt jetzt? Welche Bank? Sowas verlasse mich erst recht nicht. Wenn Handy defekt ist dann kann ich immer noch mit Laptop Bankgeschäfte tätigen.

Wenn das Handy defekt ist - dann kann ich immer noch umstellen auf den TAN-Generator. Meine Bank stellt das zur Auswahl.

 

[Odin.666]

Das kannst du nur umstellen wenn du direkt zu Bank geht andersfalls geht es nicht

 

[saw]

Nö, geht bei unseren problemlos online.
Wäre auch bei zumindest 3 Banken bei uns schwierig, die sind nur online zu erreichen weil die keine Geschäftsstellen haben.
Selbst bei der guten alten Sparkasse, geht es online ^^

 

[MichaNbg]

Jetzt, wo das Zitat hier im Textfeld ist, frage ich mich direkt, warum ich überhaupt antworte

Weiß nicht. Vielleicht hast du mittlerweile wieder Zeit nachdem eine Woche lang überlegt hast, wie es ein "Netzwerkproblem" hätte sein können? 🤷‍♂️

Aber: das sagen sie nicht. Sie sagen, dass die fremden Apps eine Gefahr für die Integrität der Nutzerdaten sind, nicht, dass sie eine Gefahr für die Integrität des OS sind.

Das ist nicht vollständig. Sie betachten es auch als Threat für core components der Systemsecurity. U.a. befürchten sie, dass auf nicht-öffentliche APIs und Betriebssystemfunktionen zugegriffen werden könnte.

Sie verpacken es aber als "man würde uns zwingen, den Zugriff darauf zu gewähren". Heißt übersetzt: "im Moment können wir den Zugriff auf diese ansonsten ungeschützten APIs durch automatisches Codereview herausfiltern".

Womit rein gar nichts gesagt ist. Zumindest nicht, was Sicherheit von OS bescheinigt.

Natürlich nicht einzig. Aber auch dies ist Bestandteil des Preisbildungsprozesses. Wie groß ist die Zielgruppe, wie leicht ist es ins System zu kommen, wie einfach ist es den Exploit anzuwenden, wie einfach ist er zu schließen, was kann ich mit dem Teil eigentlich machen...

Habe damit nichts mehr zu tun, gab aber mal ne Zeit da hast du für ne Local Privilege Escalation oder ne Remote Code Execution auf iOS deutlich weniger auf den Tisch legen müssen als unter Android. Glaub für ne richtige Persistenz auf iOS gibt es immer noch weniger Bounty als auf Android.


Um es mal wieder einzufangen und zurückzubringen, weil jetzt schon wieder die "meh mehr aber Apple..."-Schiene gefahren wird:
Nein, es geht nicht darum, dass Apple unsicher wäre oder unsicherer. Es geht nur darum, dass "iOS ist per se sicherer als Android" nicht standhält. Das ist vor allem in unseren Köpfen (und natürlich Apples Keynotes) so.

 

[AndaleR]

Das kannst du nur umstellen wenn du direkt zu Bank geht andersfalls geht es nicht

Nein. Vielleicht müsstest Du Dir mal angewohnen, dass auch andere Recht haben - und nicht allem widersprechen?

Ich kann vor dem Ausführen der Überweisung jede Menge wählen:

 

[Odin.666]

Nö, geht bei unseren problemlos online.
Wäre auch bei zumindest 3 Banken bei uns schwierig, die sind nur online zu erreichen weil die keine Geschäftsstellen haben.
Selbst bei der guten alten Sparkasse, geht es online ^^
Anhang anzeigen 191287

Ja genau man kann umstellen aber dafür braucht man Tan Generator um zu bestätigen

Nein. Vielleicht müsstest Du Dir mal angewohnen, dass auch andere Recht haben - und nicht allem widersprechen?

Ich kann vor dem Ausführen der Überweisung jede Menge wählen:

Anhang anzeigen 191288

Ich poste eben nur aus meine Erfahrungen und jede Bank handhaben sich anders. Bei meine Bank Sparkasse war es so , muss vor paar Monaten den sogenannten Chip Flickr Tan Generator auf Chip Photo/QR Tan Generator umstellen aber muss dann per Tan Verfahren bestätigen also zuletzt gewählte Tan Generator.

 

[Manou Sakis]

Hier auch noch ein Bericht von heise.de.

Apple hat hier m.M.n. wirklich dringenden Nachholbedarf! Das darf nicht sein, dass man alleine mit Kenntnis der PIN die gesamte Apple-ID übernehmen kann und zusätzlich dazu noch schweren wirtschaftlichen Schaden anrichten kann!

Würde es zur Sicherheit beitragen, sich so einen Recovery Key anzulegen? Habe auch erstmalig davon gehört.

 

[AndaleR]

Naja - man kann ja auch selbst etwas dagegen unternehmen:

- Die wichtigen Kennwörter nicht im Schlüsselbund speichern, alternative Passwort-Manager nutzen
- Den Passcode eben komplizierter gestalten, nicht nur numerisch.

Jetzt ist es plötzlich eine Katastrophe - das Problem ist ja schon (fast) immer vorhanden?
Das ist ähnlich diesem Paypal/Argentinische Pesos-Dings, das kurz durch alle Medien geisterte: Es gibt Lücken in Systemen - solange die aber nicht zu umfassend genutzt werden, schert sich niemand etwas drum. Wird es plötzlich im größeren Rahmen betrieben, herrscht Panik…

Der Recovery-Key ist ja hauptsächlich dazu da, wenn man das Passwort für seine Daten nicht mehr kennt (die jetzt komplett verschlüsselt in der iCloud liegen), trotzdem noch einen Strohhalm zu haben, an dem man sich klammern kann…