Kriminelle übernehmen die Apple-ID
iPhone-Passcode als Sicherheitsrisiko: Wenn das digitale Leben bei Apple liegt
In den USA macht gerade die Geschichte von Reyhan Ayas die Runde. Der Unternehmensberaterin ist das widerfahren, wovor wir in der Vergangenheit schon im Zusammenhang mit Apples Passwortverwaltung iCloud-Schlüsselbund gewarnt haben. Die Apple-ID ist längst nicht mehr der Zugangscode zum iPhone allein, sondern kann der Generalschlüssel zum kompletten Leben – inklusive aller Finanzen – ihres Besitzers sein. Ayas wurde das iPhone entwendet und in der Folge haben die Räuber ihr Bankkonto um 10.000 Dollar erleichtert.
This is a story about crimes happening across the country, but this is also about how Apple has put so much power in the passcode. That single string of digits allows a thief to:
🔴 Change an Apple ID password
🔴 Access iCloud keychain passwords
🔴Use Apple Pay (🧵2/7)— Joanna Stern (@JoannaStern) February 24, 2023
Die vollständige Geschichte könnt ihr euch gewohnt gut aufgearbeitet im unten eingebetteten Video von Joanna Stern ansehen. Knackpunkt ist die Tatsache, dass die Apple-ID bei den meisten iPhone-Besitzern genügt, um nicht nur deren Telefon zu öffnen, sondern auch Zugang zu umfassenden persönlichen Informationen zu erhalten.
Die im iCloud-Schlüsselbund gespeicherten Zugangsdaten bilden dabei die Grundlage für kriminelle Aktivitäten wie den Diebstahl im aktuellen Fall. Mithilfe der von vielen Menschen auf ihrem iPhone gespeicherten persönlichen Informationen wie etwa Fotos von Ausweisen und sonstigen Dokumenten kann sich ein Dieb zudem diverse weitere Vorteile verschaffen.
Aus den USA wird mittlerweile eine ganze Welle solcher Kriminaldelikte gemeldet, deren Ablauf stets weitgehend identisch ist. Die Täter spähen den Passcode ihrer Opfer in Situationen aus, wo beispielsweise Touch ID oder Face ID nicht funktionieren und der Code manuell eingegeben werden muss, und rauben im Anschluss das iPhone. Innerhalb weniger Minuten wird dann die Apple-ID des Telefons geändert (das zugehörige Password findet sich ja im iCloud-Schlüsselbund) und der rechtmäßige Besitzer des Geräts ist komplett ausgesperrt, hat nichtmal mehr die Möglichkeit, sein iPhone mithilfe von Apples „Wo ist?“-System zu lokalisieren oder zu löschen.
Nicht alles in eine Hand legen
Apple muss sich im Zusammenhang mit den bislang öffentlich gewordenen Fällen heftiger Kritik stellen, allem voran aufgrund der Tatsache, dass Betroffene keine Möglichkeit haben, direkte Unterstützung oder die Kontrolle über ihre Apple-ID zeitnah zurück zu erhalten. Auf Anfrage teilte das Unternehmen lediglich mit, man fühle mit den Betroffenen mit, allerdings sei dergleichen selten und mit viel Aufwand verbunden, dennoch wolle man den Schutz seiner Benutzerkonten weiterhin verbessern.
Für spontane Abhilfe kann eigentlich nur sorgen, wenn man Abstand davon nimmt, all seine persönlichen Daten in die Hände von Apple zu legen, sondern zumindest einen separaten Passwort-Manager anstelle des iCloud-Schlüsselbunds verwendet – ganz egal wie bequem die Apple-Lösung auch ist. Bereits ohne derartige Diebstahlsszenarios haben Beispiele in der Vergangenheit gezeigt, wie dramatisch sich eine gesperrte Apple-ID auf Personen auswirken kann, die dem Unternehmen ihr komplettes digitales Leben anvertraut haben.
Würde es nicht reichen, das Apple-Passwort in einen separaten Passwort-Manager zu legen?
Apple ID geändert? Wohl 2 Faktor nicht eingerichtet, Fehler des Nutzers.
Kannst du doch direkt vom iPHhone aus bestätigen.
Wenn man vollen Zugriff auf das Gerät hat kommt da auch der 2. Faktor. Hast du den Artikel überhaupt gelesen?
Bei mir ist die vertrauenswürdige Nummer ungleich der des iPhones. Gerade ausprobiert, funktioniert. Und nu? Doch ein Fehler des Anwenders?
Das ist ja supi für dich, dass du über zwei unterschiedliche Nummern verfügst. Das trifft aber auf die Mehrheit der Nutzer nicht zu.
Heiraten reicht.
@Oli da sind die gestohlenen 10k aber günstiger
:)
Das ist eine gute Idee. Werd ich mit meiner Frau besprechen. Danke für den Tip!
Ich würde es nicht als Fehler bezeichnen. Apple lässt nun mal zu, dass man seine eigenen Geräte als vertrauenswürdig einstufen kann. Das führt dann dazu, dass der Push und Code auch auf das Gerät kommen, welches man gerade benutzt.
Das SMS-System ist nur eine Möglichkeit der 2FA.
So ähnlich meiner Schwester passiert, Passwort kann man über das Support Tool mittels des Codes vom iPhone ohne 2fa zurücksetzen,… also zumindest vor einem knappen Jahr noch,…
Danke Oli !
Ich dachte hier beim Lesen schon, ich wäre der Einzige der MFA auf ein anderes Gerät (mit einer anderen Apple ID) entkoppelt.
Mir wäre neu, dass die Apple ID inkl. Passwort im Schlüsselbund abgelegt wird. Gerade nochmal geprüft, das ist im Standart nicht der Fall, es muss bewusst manuell hinterlegt worden sein.
Gerade ausprobiert. Es reicht das Passwort für das iPhone um in den Einstellungen (Einstellung – iCloud – Passwort & Sicherheit) das Passwort für die Apple ID zu ändern. Trotz 2FA aktiv, wird man zur Sicherheit nur nach dem iPhone Passwort zum entsperren gefragt.
Krass … stimmt. Soviel zur Sicherheit auf dem iPhone
Ich habe die MFA auf zwei YubiKeys gelegt, habe mehrere Recovery Keys angelegt (persönlich und einen „Gast“-Recovery-Key auf den Namen meiner Frau).
iCloud-Schlüsselbund nutze ich nicht, dafür habe ich als Konsequenz in Bitwarden eine anderslautende PIN zum Öffnen hinterlegt- also anders als meinen sowieso schon 12-Stelligen Alphanumerischen PIN für das iPhone und iPad.
mich hoffe, dass das hilft.
Darüber hinaus müsste ich mal ausprobieren, ob die Passwortänderung ohne die YubiKeys und nur mit der Lockscreen-PIN geht.
Andererseits steht auf der Hilfeseite, dass die YubiKeys nur helfen, wenn man ein neues Gerät hinzufügen will.
Also dann wäre die Änderungsmöglichkeit für das Passwort nur mit der PIN tatsächlich eine offene Flanke.
*mich = Ich
Alter!!! Bitte???
Klinkt mir kompliziert und umständlich.
Eigentlich gar nicht. Nutzt halt nicht den Apple Schlüsselbund und hat für die 2FA einen zusätzlichen physikalischen Token dabei. Ist nur etwas umständlicher formuliert aber am Ende halt recht simpel.
Hey Chris. Sorry. Ich arbeite als Security Consultant in der IT. Daher werfe ich manchmal mit Begriffen um mich.
Sicherheit ist leider manchmal umständlich. Aber Apple muss definitiv auch was für „Standardnutzer“ ändern.
Was sind MFA? Was sind RecoveryPins? Was sind YubiDingsBums? Ein sicheres Handy würde reichen ;-)
Du hast die MFA auf Yubikeys umgestellt? Das ist sehr interessant, wusste garnicht dass das geht und ist wohl die beste Variante. Danke für den Input, das seh ich mir auch an
Leider schützt das nur komplett neue Geräte oder Zugriffe. Echt blöd…
Dass Apple hier so ne offene Flanke hat tut weh und hätte ich nicht gedacht. Hier ist es dann echt Ratsam über Bildschirmzeit eine Faktor mehr zu verwenden, auch wenn extra mühsam
Frage aus Interesse, du synchronisiert doch deine Passwort Datenbank sicherlich über mehrere Geräte. Wie lässt sich das mit Bitwarden am einfachsten bewerkstelligen? Zentrales ablegen der Datenbank auf einem Nas?
Ich nutze den Bitwarden Cloud-Dienst, keine eigene Instanz. Kostet ca. 10$ im Jahr.
Dann auf den benötigten Geräten installieren, Masterpasswort rein, Multifaktor bestätigen.
Danach dann im iPhone/iPad unter Passwörter, Passwort-Optionen den Passwort-Provider ändern auf Bitwarden.
Ach guck, danke für den Tipp, wusste gar nicht dass es da einen Cloud Service gibt. Schaue ich mir mal an.
Allerdings so wie du Bitwarden nutzt ist es im Vergleich zu bspw 1Password nur günstiger. Bitwarden bietet ja den Vorteil dass du es einfach auch selbst hosten könntest was ja in den letzten Versionen von 1Password nicht mehr möglich ist. Bitwarden in der Cloud 10$, 1Password in der Cloud etwa 70$. – Oder sonst noch irgendein Grund oder Feature warum du Bitwarden hier ausgewählt hast?
Ein 12-stelliger, alphanumerischer PIN für dein iPhone/iPad? Ich kann mir nicht vorstellen, dass das ein komplexer Pin ist (mit Sonderzeichen etc.), sondern vermutlich hergeleitet aus Geburtstagen, Namen, Sätzen etc. Andernfalls ist das doch gar nicht alltagstauglich oder?
Vielleicht hast du auch einfach ein anderes Nutzungsszenario als ich, aber ich nutze Keepass (synchronisiere über mehrere Geräte via NAS) für wichtige Sachen und speichere nur völlig unwichtige Passwörter in Apples Keychain.
Yubikeys nutze ich bisher ausschließlich für GPG- und SSH-Keys.
Mich würde aber die MFA-Nutzung interessieren. Kannst du das genauer ausführen? Wie soll das funktionieren ohne aktives Display (oder läuft das ohne OTP)?
Eine 12 stellige Abfolge kann man sich doch auch merken? Ist jetzt nicht sonderlich schwer. Auch ohne Eselsbrücke.
Mit einem solchen Code kannst du dann aber keine Watch mehr an ein so gesichertes iPhone koppeln, da die Watch nur maximal den 6-stelligen PIN beherrscht. Aber eben nichts alphanumerisches.
Apple könnte für den Zugriff auf die Passwörter auch einen sperrten Code oder Passwort anfordern. Wird ja wohl möglich sein das sich ein Mensch zwei Passwörter merkt!
Genau das habe ich auch gedacht.
War früher so, dass iPhone hatte gewarnt, wenn man den gleichen pin für Schlüsselbund und iPhone verwenden wollte
Aber wann funktioniert denn faceID nicht in der Öffentlichkeit??
Bester Kommentar!
Bei mir recht häufig mal Aussetzer. Da muss dann die Watch einspringen. Habe aber auch die simplere Face ID für die maskennutzung nie aktiviert
Der Mensch als größter Schwachpunkt. Gegen sowas schützt man sich mit 2-Faktor Authentifizierung.
Nicht verstanden oder?
Der zweiter Faktor (in dem Fall das iPhone) befindet sich in den Händen der Diebe..
Der Käpt‘n hat den Artikel nicht gelesen oder das Problem nicht verstanden.
Stimmt…ich war bei meinen Banking Apps bei denen für die TAN/2FA App ein zusätzliches Password erforderlich ist. Das Problem ist dass FaceID auf dem iPhone mit dem dem Passwort komplett ausgehebelt werden kann. Für FA wäre ein zweites Passwort mit FaceID sinnvoll.
Also ich muss gefühlt für alles was den Account betrifft mein Passwort immer manuell eingeben. Das mache ich, wegen sowas wie hier, aber auch bewusst.
Und Bankdaten liegen auch nicht im Schlüsselbund. Vom Perso habe ich erst gar keine digitale Kopie
Gerade ausprobiert. Es reicht das Passwort für das iPhone um in den Einstellungen (Einstellung – iCloud – Passwort & Sicherheit) das Passwort für die Apple ID zu ändern. Trotz
2FA aktiv, wird man zur Sicherheit nur nach dem iPhone Passwort zum entsperren gefragt.
Was für eine Passwort-Manager könnt ihr empfehlen?
SafeInCloud
1Password
Leider nur im Abo, wenn man auf 8 aktualisiert
Enpass geht auch (gibts auch ohne Abo). Und teilweise nicht die Lifetime Lizenzen auch recht günstig im Angebot.
Strongbox
KeePass/MacPass
RoboForm
SecureSafe aus der Schweiz
Bitwarden. OpenSource, sehr gute usability, regelmässige öffentliche Sicherheitstest.
Das sage ich schon seit Jahren.
Erste Hilfe ist auch, keinen PIN zu nutzen, sondern ein alphanumerisches Passwort.
Mit einem solchen Code kannst du dann aber keine Watch mehr an ein so gesichertes iPhone koppeln, da die Watch nur maximal den 6-stelligen PIN beherrscht. Aber eben nichts alphanumerisches.
Die Apple Watch PIN hat nichts mit der iPhone PIN zu tun. Sie kann die gleiche sein, aber auch eine komplett andere. Ich habe auf dem iPhone eine 6-stellige PIN und auf der Apple Watch eine 4-stellige
Stichwort Bildschirmzeit
Das ist ne gute Idee..
Dann kann man den Apple Account nicht mehr ändern und damit sind Änderungen auf iPhone nicht mehr möglich, aber auf die Apple ID Webseite kommt man immer noch kann die Appel ID Problemlos ändern…
Leider nicht die Lösung..
Für die ID Webseite benötigst du das Passwort und nicht die PIN
Genau das habe ich getestet, es geht per PIN!
Beschreib mal bitte wie das geht.
Siehe die News („Bildschirmzeit“ als Schutz vor Apple-ID-Diebstahl), da habe ich und rainer.wahn beschrieben, wie man das umgeht.
Zusätzlich zur Bildschirmzeit noch die Apple-ID Website auf die beschränkte Websites Liste setzen. Dann kann der Dieb die Seite vom iPhone aus nicht aufrufen und das Passwort nicht ändern. Wenn man mal selber dahin muss, muss halt der Code für die Bildschirmzeit eingegeben werden.
Welchen Sinn hat es, einen anderen Passwort-Manager anstelle von iCloud zu verwenden, wenn ich dann den Apple-Code verwenden kann, um ihn trotzdem zu entsperren?
1Password, etwa nutzt zwar auch Face ID, hat aber ein eigenes Passwort. Ist ein eigener Tresor auf dem Handy.
Bei Enpass das Gleiche. Entweder Face/Touch ID oder das Passwort für den Tresor. Mit dem iPhone Passcode kommt man da nicht rein.
Auch sollte man den Tresor nicht in die iCloud legen, denn auf diese hat man bei diesem Diebstahl Senario auch keinen Zugriff mehr.
In dem man einen anderen Code für den PW Manager wählt?!?
Ich frage mich, wie die Diebe die Passwort Anforderung zum ausspionieren provozieren konnten.
Soviel zum Thema, dass Yubikeys nur für gefährdete Personengruppen geeignet ist.
In Strongbox ist die Entsperrung per FaceID bzw. iPhone Pin deaktivert. Da muss man einen anderen Code eingeben. Man kommt also mit dem iPhone Pin nicht an den Tresor.
Zusätzlich zur Apple-ID kann man ja noch den SIM-PIN verwenden.
Weil es den Dieben darum ging, kostenlos mit dem Handy zu telefonieren?
Wir haben nicht mehr 2000 …
Okay und dazu warten die Diebe soooooo lang in irgendwelchen Mails etc… bis bei einem Face ID mal nicht gehen sollte? …ich mein während der Maskenzeit okay, aber wow…geht da viel Wartezeit drauf :D
Mache mir da auch schon seit langem gedanken und finde das auch absolut unmöglich, dass man mit ein paar zahlen einfach alles machen kann!!!
„dass die Apple-ID bei den meisten iPhone-Besitzern genügt, um nicht nur deren Telefon zu öffnen“ verstehe ich nicht. Mein Zugangscode IN das iPhone ist Touch- oder Face-ID, oder der 6- oder 4-stellige numerische Code. Meine Apple ID ist doch ganz woanders. HIer wird suggeriert jemand hätte sie bei der Codeeingabe beoachtet. Kann passieren. Aber damit ist man doch nicht in der Apple ID?
Doch, doch. Mit dem Code kannst im iPhone das Passwort der Apple ID ändern, ohne das alte Passwort zu kennen.
Damit hast du dir dann Zugang verschafft.
Um genau zu sein: mit dem PIN-Code lässt sich in den Einstellungen die Rubrik „Passwörter“ öffnen und dort findet der Kriminelle dann das vom Eigentümer dort in aller Regel gespeicherte Passwort zur Apple-ID in Reintext
Mit dem Passcode lässt sich auf dem iPhone das iCloud Passwort ändern. Steht auch so im Text.
Micha genau das ist das Problem. Es ist lächerlich von Apple! Das hat nichts mit Sicherheit zu tun.
Danke allen
Man könnte auch 1password nutzen, was aber mit zusätzlichen Kosten verbunden ist. Apple sollte hier nachbessern und den Zugang zu den sensiblen Daten nicht nur über die iPhone-PIN absichern, die in den allermeisten Fällen eine vierstellige Zahl ist.
Also
Es gibt seit Jahren genau für diesen Fall eine Lösung!!!
Es nennt sich Wiederherstellungsschlüssel.
Dieser muss leider selbst aktiviert und sicher verwahrt werden.
ABER mit diesen Code kann man sich sein Account zurück holen.
Es ist quasi ein General Schlüssel.
Sofern er nicht auch bereits geändert wurde. Was aber glaub die meisten Diebe nicht machen.
Falls auch dieser bereits geändert wurde kann man nur bei Apple anrufen und sein Account verifizieren, iPhone sperren und Account zurücksetzen lassen.
Das ist sicher eine große Sch… aber ein Anfang.
Die Diebe ändern deine Apple ID, damit bringt dir der Wiederherstellungsschlüssel auch nichts, weil du nicht mehr zum Eingeben eines zweiten Faktors kommst.
Kann ich die Keychain Passwörter vom iPhone löschen ohne dass ich sie von der Cloud lösche (um diese noch auf PC zu haben)?
Ein wenig spät, oder? Das Problem hat sich doch praktisch schon wieder erledigt.
Die „Täter“ haben in Bussen, Bahnen oder öffentlichen Räumen die PIN ausgespäht.
Jeder der hier ein iPhone hat, muss sich doch gleich fragen, warum geben die Leute denn eine PIN ein.
Das war tatsächlich ein Problem, bevor die Gesichtserkennung mit Maske nicht funktionierte und überhaupt überall eine Maske getragen werden musste.
Denn dann brauchten sich die Kriminellen nur in einem Bus oder Zug zu setzen und abwarten, bis einer seine PIN eintippt. Das dürfte keine 10min gedauert haben, bis er ein Opfer gefunden hat.
Oder er hat an einer Kasse gestanden und die Leute beobachtet, die mit Maske versucht haben mit Apple-Pay zu zahlen und dann den Code eingetippt haben.
Heute sitzt der arme Täter 16 Stunden in der U-Bahn und kein einziger tippt seine PIN ein. Oder er steht 2 Stunden an der Kasse und wird vom Sicherheitsdienst heraus begleitet.
Dann kann er auch gleich arbeiten gehen.
IMHO wäre es auch eine Verbesserung, wenn Apple bei der Änderung des Apple-ID-Passworts einfach, wie alle anderen Anwendungen auch, dass alte Apple-ID-Passwort anfordert.
Das nützt leider nichts, denn wenn der Dieb (w/m/d) sich halbwegs auskennt, geht er gleich zu Einstellungen > Passwörter und sieht sich als erstes das bisherige Apple-ID Passwort im Klartext an.
Die Apple-ID steht bei mir nicht unter „Passwörter“ drin.
Also mit dem PIN-Code kann ich meine Apple-ID nicht ändern. Dazu brauche ich mein Apple-ID-Password, welches natürlich anders ist als der PIN-Code.
Über Bildschirmzeit die Änderung der Apple ID sperren. Gerade interessanten Artikel dazu auf ifun.de gelesen.
Zusätzlich zur Bildschirmzeit noch die Apple-ID Website auf die beschränkte Websites Liste setzen. Dann kann der Dieb die Seite vom iPhone aus nicht aufrufen und das Passwort nicht ändern. Wenn man mal selber dahin muss, muss halt der Code für die Bildschirmzeit eingegeben werden.
Wo gibts denn da die Black List. Unter Bildschirmzeit sehe ich nur eine Whitelist.
Uiuiui, hier steht viel Richtiges, aber auch sehr viel Halbwissen.
Vorweg, Sicherheit ohne Kompromisse in der Benutzerfreundlichkeit geht quasi nicht, ausser man hätte vielleicht nen NFC Chip unter der Haut (Körperstelle geheim ) der automatisch das Device entsperrt, in der Hoffnung man ist nicht interessant genug für den Dieb und der einen auseinander nimmt.
Kidding aside,
die Tatsache, dass früher (wo jeder sein phone mit code entsperrte) die art diebstahl nicht im fokus stand, ist ganz einfach darin begründet, dass idR kaum relevantes auf dem phone war….apple pay, kreditkarten, finanzapps usw.
Dafür muss man aber dennoch erstmal den Entsperrcode kennen. Der sollte schon so gewählt werden, dass man den nicht einfach erraten kann. Viele nehmen da ja dann einfach 6x die gleiche Zahl. Wieder ein Anwenderfehler
Da haben VoiceOver Nutzer mit dem Bildschirmvorhang einen Vorteil, weil der Bildschirm dunkel ist und man nicht sieht. Wer die Handschrifterkennung nutzen kann, der kann auch so seinen PIN eingeben, ohne dass der jenige etwas hört oder sieht. Mit der Punktschrift Option wer sie kann, ist dies ebenfalls möglich. Man kann natürlich auch nur die Sprache ausschalten und den PIN eingeben dauert es länger aber wer das Zahlenfeld auswendig kennt, dann ist es ebenfalls möglich.
Das sind mir zuviele „wenns“.
Wenn ich am Straßenrand stehe und nicht auf die Autos achte, weil gegenüber eine Hollywood-Schauspielerin steht und „mir“ zuwinkt und ein LKW-Fahrer das ebenfalls sieht, verliert er die Kontrolle und überfährt mich auf den Gehweg.
Vielleicht noch ein hilfreicher Tipp in Bezug auf die Möglichkeit des „Konto Plünderns“ hinsichtlich Apple Pay:
Ein kostenfreie VISA o.ä. ordern und diese sowohl hinsichtlich des Dispos stark begrenzen als auch eine evtl. automatische Aufladung deaktivieren.
Zusätzlich nur eine begrenzte Summe auf diesem „Konto“ bereit halten.
Im Fall der Fälle ist dann der finanzielle Schaden nicht ganz so groß.
Darum habe ich den Widerherstellungscode nach MFA Aktivierung ganz klassisch ausgedruckt und abgeheftet. Sollte ja meiner Meinung nach funktionieren.
Aber auch der kann ja geändert werden, wenn ich das Video richtig verstehe.
Sehe ich das richtig, dass das Löschen der Apple ID Zugangsdaten aus dem Schlüsselbund gegen den Angriff, der im Artikel beschrieben wird hilft?