Apples zweistufige Anmeldung unvollständig
Wie eine Sicherheitsexpertin aufdeckt, ist Apples zweistufige Anmeldung immer noch nicht vollständig in alle Dienste integriert. Zu den
problematischen Bereichen zählen FaceTime, iMessage, der iTunes Store und Apples Webseiten. Angreifer können demnach mithilfe des erratenen oder gestohlenen Kennworts sowie der E-Mail-Adresse unter anderem Chat-Kontakte und Gespräche, Anschrift, Bank, Telefonnummer sowie Kaufverhalten bei Apps und Büchern einsehen. Daraus ließe sich beispielsweise ein ausgeklügeltes Angriffsprofil generieren, um Geräte des Opfers unter Kontrolle zu bringen.
Ein weiterer wichtiger Aspekt, der von Dani Grant aufgedeckt wurde, sind
fehlende Hinweise bei Anmeldung von fremden Computern. Mit Ausnahme von FaceTime hatte Apple auf den Versand einer E-Mail verzichtet, um auf die Anmeldung über ein unbekanntes Gerät hinzuweisen. Das Opfer würde also nicht einmal bemerken, dass ein Angreifer an Anmeldedaten gelangt ist. Es bleibt zu hoffen, dass Apple diese Lücken bald schließt und die zweistufige Anmeldung umfassend in alle Dienste integriert.
Weiterführende Links: