[Sammelthread] iOS 17 - Final

[BalthasarBux]

Diese SMS Weiterleitung versteh ich nicht. Wenn diese nicht aktiviert ist und ich sende eine Nachricht an eine Handy was kein iPhone ist bekommt dieses ja dennoch die Nachricht als SMS. Daher wozu sollte man das extra aktivieren?

Darum geht es nicht.
Eine SMS kann technisch gesehen nur von Telefon zu Telefon (bzw. Geräten mit Telefonnummer) geschickt werden. Eine empfangene SMS kann also nur von deinem iPhone empfangen werden, nicht aber von deinem iPad oder deinem Mac. Mit SMS-Weiterleitung wird dafür gesorgt, dass du die SMS 1. auch auf deinem Mac etc. ankommt und du sie dort lesen kannst, sie also überall im Nachrichtenverlauf landet. 2. sorgt die SMS-Weiterleitung dafür, dass du mit jedem deiner Geräte die SMS schreiben kannst, obwohl sie ja nur vom iPhone verschickt werden kann.

 

[Sequoia]

Zusätzlich ist es ein großer Vorteil, wenn man 2FA Codes via SMS bekommt. Man kann so einfach in Safari diesen Code automatisch ausfüllen lassen.

 

[au37x]

Meint ihr es kommt diesen Monat direkt noch iOS 17.3 ? Oder noch vorher eine Zwischenversion?

Die werden erstmal diesen Bootloop Fehler aus der Beta wieder geradeziehen müssen. Erst wenn das abgesichert ist.

 

[AndaleR]

@Sequoia Genau dadurch ist es mir eigentlich erst aufgefallen.

 

[ottomane]

Zusätzlich ist es ein großer Vorteil, wenn man 2FA Codes via SMS bekommt. Man kann so einfach in Safari diesen Code automatisch ausfüllen lassen.

Ich halte die Funktion für ein Sicherheitsproblem, weil damit die 2FA ausgehebelt werden kann.

Wenn der Geheimcode auf dem Gerät ankommt, wo die sicherheitsrelevante Anwendung läuft, ist es kein wirklich gut getrennter zweiter Faktor mehr.

 

[Sequoia]

Ich halte es nicht für sicherheitsrelevant

Denn es wird keine unverschlüsselte SMS weiter geleitet, sondern die SMS wird quasi als iMessage verschlüsselt in die iCloud geladen & von da auf die anderen Geräte.

 

[ottomane]

Es geht bei dem Code nicht um Verschlüsselung, sondern darum, dass er nur auf einem zweiten Gerät ankommt, das sich in deinem Zugriff befinden muss und wo der Zugriff zudem im Idealfall separat authentifiziert wird.

Wenn man die SMS weiterleitet, fällt das weg.

 

[AndaleR]

Aber der Code wird ja nur auf meine Geräte weitergeleitet.

 

[ottomane]

Auch auf das Gerät, mit dem du gerade z. B. Internetbanking machst. Dadurch braucht ein Angreifer nur noch Zugriff auf ein Gerät statt auf zwei.
Klar, das ist jetzt keine Katastrophe, reduziert aber meines Erachtens die Sicherheit. Für mich wäre das nichts. Naja, kann ja jeder machen wie er möchte.

 

[tiny]

Aber der Code wird ja nur auf meine Geräte weitergeleitet.

@ottomane meint ja genau das! Wenn jemand Fremde Deinen iPad entwendet und einloggen möchte, bekommt Dein iPhone die sms und wird auf den iPad auch weitergeleitet. Und schon haben wir den Salat.

Ich halte es nicht für sicherheitsrelevant

Denn es wird keine unverschlüsselte SMS weiter geleitet, sondern die SMS wird quasi als iMessage verschlüsselt in die iCloud geladen & von da auf die anderen Geräte.

Wie oben von mir ausgeführt, ist dies auch meiner Meinung nach schon sicherheitsrelevant!°

 

[Sequoia]

Die Geräte sind so konzipiert, dass es für einen Fremden gleichermaßen schwer sein sollte, auf ein iPad, als auch auf ein iPhone Zugriff zu erhalten.

Ich sehe da kein Problem drin, und schon gar kein aushebeln der 2FA.
Klar, wenn man nun ein iPad zu Hause ohne Code hat, oder einen einfachen Code, dann ist es so. Das sollte man ja aber nicht.

Und wenn man diese Bedenken hat, dann sollte man die Einstellung eben nicht nutzen.
Oder am besten gar keine SMS, die bekanntlich unverschlüsselt übertragen werden.

 

[tiny]

Und wenn man diese Bedenken hat, dann sollte man die Einstellung eben nicht nutzen.
Oder am besten gar keine SMS, die bekanntlich unverschlüsselt übertragen werden.

Da sollte aber Apple prominent darauf hinweisen. Kaum jemandem ist diese Sicherheitslücke bewußt. Das ist eine Bringschuld von Apple.

 

[Joh1]

Kaum jemandem ist diese Sicherheitslücke bewußt.

Ich sehe das nicht als Sicherheitslücke an 🤷‍♂️

 

[Sequoia]

Es ist eine Bringschuld von Apple, wenn sie nicht noch mehr darauf hinweisen, dass man seine Geräte richtig sichern sollte?
Okay.
Ich denke, dass Apple es ziemlich klar macht, dass man einen guten Code eingeben sollte, und zusätzlich mit FaceID personenbezogen absichern sollte.


Man sollte sich schon, wenn man aktiv etwas einstellt, das nicht blind machen, sondern sich mit beschäftigen.

Muss die Post auch vor dem Einwerfen einer Postkarte sagen: Hey, achte darauf, dass nichts drauf steht, was kein anderer lesen sollte? Genau so ist es mit einer SMS.

 

[ottomane]

Muss die Post auch vor dem Einwerfen einer Postkarte sagen: Hey, achte darauf, dass nichts drauf steht, was kein anderer lesen sollte? Genau so ist es mit einer SMS.

Es geht hier nicht um Verschlüsselung der SMS.

Es ist eine Bringschuld von Apple, wenn sie nicht noch mehr darauf hinweisen, dass man seine Geräte richtig sichern sollte?

Es geht nicht um das Sichern eines Geräts, sondern um das Prinzip von 2FA. Zwei Geräte im Besitz zu haben und beide in zeitlicher Nähe entsperren zu müssen ist ganz erheblich sicherer als das selbe nur für ein Gerät zu machen zu müssen, zumal das iPhone in der Regel eine andere Authentisierung erfordert als ein Mac. Noch ein weiterer wichtiger Sicherheitsgewinn.

Mit aktiver Einstellung reicht aber ein einziger Remote-Zugriff auf einen Mac oder ein Trojaner, um die Sicherheit auszuhebeln.

Viele verstehen gar nicht, warum man 2FA überhaupt macht. Da wird es wohl kaum schaden, wenn man einen winzigen Hinweis unter dieser Einstellung platziert. Aber aus Erfahrung wissen wir ja alle, dass die Menschen ihre Rechner gut absichern, nirgendwo draufklicken und sowieso auch keine erfolgreichen Hacks passieren.

Das BSI schreibt:

Gängig ist hier vor allem die Übermittlung per SMS (mTAN, smsTAN) ggf. mit Angabe zusätzlicher Transaktionsinformationen. Es ist jedoch davon abzuraten für den Empfang der mTAN dasselbe Gerät zu verwenden, wie für das Log-In bzw. die Nutzung des Dienstes (keine ausreichende Trennung der Faktoren).

[https://www.bsi.bund.de/DE/Themen/V...sierung/zwei-faktor-authentisierung_node.html]

Wie gesagt, es kann ja jeder machen wie er will, ich wollte nur darauf hinweisen, nachdem ich in meinem Umfeld genügend Katastrophen gesehen habe.

 

[Retrax]

Wenn man eine SMS löschen möchte und die Nummer nicht in den Kontakten steht werden zwei Löschoptionen angeboten:

1. Löschen
2. Löschen und als SPAM melden (an Apple und in meinem Fall T-Mobile)

Frage:
Ist es möglich dieses "Löschen und als SPAM melden" irgendwo abzustellen?

 

[Onslaught]

Die Multifaktoranmeldung ist auch dann legitim, wenn die Faktoren auf ein und dem selben Gerät ankommen. Die Faktoren beziehen sich nicht ausschließlich auf das vohandensein von mehreren Geräten.

Nehmen wir mal nen Login:

Anmeldung mit Passwort (1.Faktor) —> im Falle des IPhones z.b per FaceID (2.Faktor, da Biometrie) —> Eingabe eines OTP (3.Faktor)

Das alles darf auf ein und demselben Gerät stattfinden und ist immer noch gültige Multifaktor Authentisierung. Selbst wenn jetzt der OTP per SMS weitergeleitet würde (welcher Anbieter macht das überhaupt noch?), fehlen immer noch die anderen Faktoren, die nicht im Besitz des Angreifer wären.

Wer keine Authenticator App nutzen will, nimmt halt nen yubikey. Dann hat man halt zwingend nen zweiten hardwarefaktor. Bietet aber nicht jeder Anbieter an.

 

[tiny]

Wer keine Authenticator App nutzen will, nimmt halt nen yubikey. Dann hat man halt zwingend nen zweiten hardwarefaktor. Bietet aber nicht jeder Anbieter an.

Und Du denkst tatsächlich, daß die Menschen das verstehen? Ich denke, keine 5% verstehen so etwas.

 

[ottomane]

Es geht nicht um "legitim", sondern um unnötige Reduktion der Sicherheit. Das hast du sicher auch verstanden.

(welcher Anbieter macht das überhaupt noch?)

Die SMS werden u.a. von so irrelevanten Unternehmen wie Paypal eingesetzt.

Aber lassen wir das. Macht, was ihr wollt. Jeder der will, kann das Problem verstehen. Ich habe da alles zu gesagt und wer mehr wissen will, liest meinen Link zum BSI oben, das klar von der Nutzung nur eines Geräts abrät.

 

[Onslaught]

sondern um unnötige Reduktion der Sicherheit

Es ist nicht unsicherer, wenn dafür ein und das selbe Gerät genutzt wird. Es kommt auf die Kombination der Faktoren an.

Zwei-Faktor-Authentisierung

Um Daten und Geräte effektiver abzusichern, ist die Zwei-Faktor-Authentisierung ein Muss. Der Log-in sollte mit einem Passwort und einem weiteren Faktor erfolgen.

www.bsi.bund.de

Die SMS werden u.a. von so irrelevanten Unternehmen wie Paypal eingesetzt.

Nicht bei mir. Man kann sich auch anders bestätigen, z.b. über die App. Muss man halt wollen.

Und Du denkst tatsächlich, daß die Menschen das verstehen? Ich denke, keine 5% verstehen so etwas.

Sicherheit und die Möglichkeitwn der Absicherung sind eine Holschlud des Nutzers. Das ist dein Account und du bist dafür verantwortlich. Es ist an dir, sich das Wissen anzueignen. 🤷‍♂️