Welle an Apple-ID-Hacks: Zwei-Faktor-Authentifizierung schützt

[echo.park]

Ich dachte ja erst mit der neuen 2FA ist es nicht mehr möglich ohne Zusatz-Code über iCloud.com ein Gerät zu orten und zu sperren. Leider habe ich nicht aufgepasst. Auf der Login-Seite ist unten ein Button, der direkt zu "Find my iPhone" führt und so die Code-Abfrage umgeht. Also doch wieder alles beim Alten. Also keine erhöhte Sicherheit was unbefugtes Sperren eines Gerätes angeht im Vergleich zur "alten" zweistufigen Bestätigung.

Schade.

 

[Schupunkt]

Das ist wohl auch so beabsichtigt, wie will man denn sonst ein geklautes iPhone sperren, wenn nicht so?

 

[echo.park]

Sobald man zusätzlich eine Festnetznummer zum Empfang der Codes eingerichtet hat, oder auch wenn man mehrere Apple Geräte nutzt, die mit der Apple ID verknüpft sind, könnte das System das erkennen und eben einen Code verlangen.

Dein Szenario greift ja nur dann, wenn man wirklich nur ein iPhone hat und dieses verloren geht.

 

[MarcNRW]

Ich hab die 2-Faktor-Authentifizierung jetzt überall aktiv und ich denke das ist jetzt erst mal die größtmögliche Art von Sicherheit die ich haben kann... das natürlich - je nach Umstand - nichts 1000% sicher ist, ist klar.

Aber ohne irgendeines meiner verifizierten Geräte in Besitz zu haben kommt jetzt keiner mehr an meine Daten.

 

[rootie]

Und natürlich muss man auch noch das Apple-ID-Passwort kennen. Wenn das hinreichend sicher ist, dann sollte alles passen

 

[Schupunkt]

Sobald man zusätzlich eine Festnetznummer zum Empfang der Codes eingerichtet hat, oder auch wenn man mehrere Apple Geräte nutzt, die mit der Apple ID verknüpft sind, könnte das System das erkennen und eben einen Code verlangen.

Dein Szenario greift ja nur dann, wenn man wirklich nur ein iPhone hat und dieses verloren geht.

Im Urlaub, beispielsweise hat man leider trotzdem nur das iPhone mit, dann hätte man ein Problem, wenn das Teil geklaut wird, denn könnte man nämlich unter Umständen Wochen lang sein Gerät nicht sperren

 

[rootie]

Muss man ja auch nicht unbedingt. Solang der Dieb nicht auch noch gleich Dein Apple-ID - Passwort mit stiehlt, besteht doch keine Gefahr?

Und wenn in der heutigen Zeit noch jemand ohne PIN/Touch ID arbeitet, selbst schuld!

Ich frage mich nur was passiert, wenn man nur ein einziges vertrauenswürdiges Gerät hat und das gestohlen wird. Wie kommt man dann in seinen Account?

 

[echo.park]

Aber ohne irgendeines meiner verifizierten Geräte in Besitz zu haben kommt jetzt keiner mehr an meine Daten.

Drive-By-Malware auf deinem Mac. Oder ein klassischer Trojaner. Dieser greift dein Apple ID-Passwort ab, danach noch den 2FA-Code, der auch auf deinen Mac zugestellt wird. Der Angreifer loggt sich in deinen Account ein, ändert das Apple ID-Passwort. Damit ist dein Account schon mal weg. Danach noch deine Geräte aus der Ferne sperren und zwar allesamt, dann kannst du noch nicht mal online gehen um Gegenmaßnahmen zu ergreifen. Obwohl das an der Stelle auch schon sehr schwierig wäre. Danach wird noch dein Mail-Account "geplündert". Also alle möglichen Passwort-Reset-Mails mal zuschicken lassen und diese Accounts ebenfalls übernehmen.

Und bis du deine Geräte wieder entsperrt hat, mit Rechnung im Apple Store ein paar Tage später, ist alles schon erledigt.

Wie war das noch? Ohne verifizierte Geräte kommt keiner an deine Daten ran?

Im Prinzip reicht eine kompetente Malware auf einem deiner Geräte aus. Und genau DAS sollte aber mit einer 2FA nicht möglich sein.

Aber so wie Apple die Codes verteilt, einfach an jedes Gerät senden, das mit dem Account zu tun hat, also auch an das, das möglicherweise die Malware eingefangen hat und dann auch noch keine Codes zum Sperren der Geräte abzufragen, eigentlich unverantwortlich.

// Edit:
Deswegen bin ich schwer am überlegen ob ich mein MBA überhaupt orten lassen soll um so zu riskieren, dass es ein Eindringling, der lediglich mein Apple ID-Passwort irgendwie abgegriffen hat, sperrt und ich zum Apple Store muss um es zu entsperren. Abgesehen davon, dass das mein einziger Rechner ist, ich wäre dann quasi "offline".

Eigentlich sollte es bei einer aktiven 2FA nahezu vollkommen egal sein, wenn das Passwort in falsche Hände gerät. Aber Leute, genau das ist bei Apple eben nicht der Fall. Weil die 2FA an bestimmtem Punkten absichtlich umgangen wird. Wie bei der Sperrung der Geräte per Cloud.

 

[MarcNRW]

Drive-By-Malware auf deinem Mac. Oder ein klassischer Trojaner. Dieser greift dein Apple ID-Passwort ab, danach noch den 2FA-Code, der auch auf deinen Mac zugestellt wird. Der Angreifer loggt sich in deinen Account ein, ändert das Apple ID-Passwort. Damit ist dein Account schon mal weg. Danach noch deine Geräte aus der Ferne sperren und zwar allesamt, dann kannst du noch nicht mal online gehen um Gegenmaßnahmen zu ergreifen. Obwohl das an der Stelle auch schon sehr schwierig wäre. Danach wird noch dein Mail-Account "geplündert". Also alle möglichen Passwort-Reset-Mails mal zuschicken lassen und diese Accounts ebenfalls übernehmen.

Und bis du deine Geräte wieder entsperrt hat, mit Rechnung im Apple Store ein paar Tage später, ist alles schon erledigt.

Wie war das noch? Ohne verifizierte Geräte kommt keiner an deine Daten ran? .

Bist Du sicher, dass das wirklich so "einfach" klappt? Könnte das bitte mal jemand ausprobieren?

Also klar, ein Trojaner auf meine Mac... soweit so gut.. könnte dann aber ein Fremder mit einen fremden PC, der jetzt auf meinen PC hängt tatsächlich den Code anfordern bzw. diesen auch einsehen?

Ich kenn mich damit nicht aus. Wenn das so wäre, ist diese 2-Faktor Authentifizierung ja totaler Unfug, oder?

 

[rootie]

Wenn ein Trojaner als Keylogger Deinen Mac ausliest, ist sowieso alles kompromittiert. Da hilft kein Schutz der Welt weiter! Wenn ein FBI-Mitarbeiter deren privaten SSL-Schlüssel im Internet veröffentlicht helfen auch keine Sicherheitsmaßnahmen mehr. Dann ist alles aus

 

[echo.park]

Also klar, ein Trojaner auf meine Mac... soweit so gut.. könnte dann aber ein Fremder mit einen fremden PC, der jetzt auf meinen PC hängt tatsächlich den Code anfordern bzw. diesen auch einsehen?

Also wenn der Trojaner erstmal dein Passwort abgefangen hat, löst ein Login damit ja automatisch die Code-Abfrage aus und ein Code wird auch im selben Moment an deinen Mac ausgegeben. Das lässt sich nicht unterbinden.

Auf deinem Mac erscheint dann ein Fenster, bei dem man auf "Erlauben" klicken muss. Das kann ein kompetent geschriebener Trojaner durchaus tun. Also ich meine damit das Fenster und dessen Position erkennen und auf den Button klicken. Im nächsten Schritt wird dann der Code angezeigt und hier reicht dann ein simpler Screenshot aus, der sofort rausgeschickt wird. Damit hat der Angreifer dann auch den Code und kann den Login vervollständigen und somit den Account komplett übernehmen. Der Screenshot muss nicht gigantisch groß sein, bezüglich der Upload-Geschwindigkeit, ein Screenshot dieses kleinen Fensters reicht ja aus.

Und um deine Geräte aus der Ferne zu sperren spielt die 2FA überhaupt keine Rolle. Kannst du selbst überprüfen. Gehe auf iCloud.com und melde dich mit deinem Passwort an. Unterhalb des Eingabefensters für den Code gibt es dann den Knopf mit "Mein iPhone suchen" (oder so ähnlich), damit gelangst du direkt dort hin. Auch ohne Code. Dort kann ein Fremder dein gesamtes digitales Leben in wenigen Schritten zumindest temporär auf Eis legen.

Und wenn dort dein Mac gesperrt wird, kann der Fremde einen 6-stelligen Code festlegen, mit dem das dann geschehen soll. Dieser wird dann EFI-basiert auf deinem Mac verankert. Diesen Code kennst du dann natürlich nicht. Und um diese Sperre wieder zu lösen musst du mit einer Rechnung im Apple Store antanzen. Das kannst du genau so auch in Apples Dokumentation nachlesen.

Wenn ein Trojaner als Keylogger Deinen Mac ausliest, ist sowieso alles kompromittiert. Da hilft kein Schutz der Welt weiter!

Doch! Genau für einen solchen Fall ist eine 2FA eigentlich da. Verstehst du das denn nicht?

Beispielsweise gibt es auch eine 2FA bei Google. Hier liest ein Trojaner also mein Passwort über meinen Mac aus. Einloggen kann er sich aber trotzdem nicht. Es fehlt der Code der per SMS auf mein ZWEITES Gerät gesendet wird. Bei Apple erscheint der Code aber eben nicht auf einem ZWEITEN Gerät, sondern ebenfalls auf dem Mac, auf dem sich auch der Trojaner befindet.

DAS ist der Unsinn dabei!

 

[rootie]

Ja dass der Code auf einem Rechner erscheint, der sich gerade versucht anzumelden, ist in der Tat Quark, da gebe ich Dir Recht. Hast Du da bei Apple mal ein Ticket aufgemacht?

 

[echo.park]

Was soll das bringen?

Ich habe schon bei dem alten System, der zweistufigen Bestätigung, mehrere Male Feedback eingesendet, immer alles ohne Erfolg. Auch da hatte ich schon so einiges zu bemängeln.

 

[rootie]

Naja grundsätzlich ist die 2FA nix anderes als zwei Dinge, die man haben muss. Hat man alle zwei ist es halt immer einfach. Dein Beispiel mit Google ist auch nicht 100% weil wenn jemand einen Trojaner auf Dein Handy spielt, ist es dasselbe Problem wie bei Deinem Beispiel mit dem Mac. Der Trojaner fängt die SMS ab und schwups bin ich drin.

Drum sag ich ja: Einen Trojaner zu haben kompromittiert sämtliche Sicherheitsmaßnahmen!

 

[echo.park]

Ja, aber zwei Geräte zur gleichen Zeit zu kompromittieren ist eine andere Hausnummer, als wenn sich alles nur auf einem abspielt.

 

[rootie]

Wieso? Wenn ich an Deinen Google-Account will, brauche ich nur einen Trojaner auf Dein Handy zu packen. Fertig! Ein Gerät.

 

[echo.park]

Nein, auf meinem Handy befindet sich nicht mein Passwort, auch wenn ich bei Google angemeldet bin. Lediglich ein Token. Und das ist wertlos für einen Fremden. Und Eintippen werde ich mein Passwort auf meinem Handy quasi nie.

 

[rootie]

Ja aber wenn du es eintippst bist Du dran dank dem Trojaner. Von daher ist es genau das gleiche wie beim Mac - ich könnte ja auch sagen, dass ich dort mein Passwort nie eingeben werde

 

[echo.park]

Du hast schon recht. Der Grundgedanke ist richtig. Kleine aber feine Unterschiede gibt es aber eben dennoch zwischen Mac und iPhone.

 

[rootie]

Sagen wir mal so: Es gibt keine 100%ige Sicherheit. Aber es ist ALLES besser als Sicherheitsfragen