Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Neue Betrugswelle: iCloud-Konto über gestohlenes iPhone und PIN-Code übernommen – Apple antwortet ausweichend

Die meisten Apple-Nutzer verwenden das iCloud-Konto für viele persönliche Informationen: Bilder werden synchronisiert, Notizen und Erinnerungen gespeichert und die Passwörter für viele Dienste und Apps synchronisiert. Ergattert ein Angreifer Zugang zu diesen Informationen, kann dies großen Schaden nach sich ziehen. Die Problematik von kompromittierten Passwörtern entgegnete Apple mit der Zwei-Faktor-Authentifizierung: Will man sich auf einem neuen Gerät anmelden, muss man zusätzlich zum Passwort einen Code eingeben, welcher an ein angemeldetes Apple-Gerät geschickt wurde. So können Angreifer nicht auf ein iCloud-Konto zugreifen, selbst wenn das Passwort bekannt ist.


Das Wall Street Journal berichtet nun, dass Kriminelle in den USA immer öfter eine Taktik verwenden, um an die iCloud-Daten der Nutzer zu gelangen. Erbeutet ein Dieb ein iPhone, kann er meist nicht viel mit dem Gerät anfangen: Kennt er den PIN-Code nicht, kann er nicht auf das Gerät zugreifen – und Face ID gilt allgemein als unüberwindbar. Doch das Einfallstor ist der PIN-Code: Erbeutete ein Dieb neben dem Gerät auch den PIN-Code, steht ihm das gesamte Nutzerkonto offen.


Passwort ändern – und Geräte entfernen
Laut dem Wall Street Journal spähten Diebe in den USA mögliche Ziele in Kneipen aus – und beobachteten diese bei Eingabe des PIN-Codes. Danach erbeuteten die Diebe die iPhones der Nutzer und handelten schnell: Sie änderten das Passwort des iCloud-Kontos, meldeten alle anderen Apple-Geräte vom Konto ab und erstellten einen Wiederherstellungsschlüssel – denn so konnte Apple den Nutzern nicht mehr dabei helfen, wieder an die Daten zu gelangen. Außerdem änderten die Diebe auch die vertrauenswürdige Telefonnummer und die Wiederherstellungskontakte, sodass auch der Geschädigte hierüber keinen Zugang zum iCloud-Konto bekommen kann.

Die Schwachstelle ist hier, dass das Passwort des iCloud-Kontos geändert werden kann, wenn der PIN-Code zum iPhone bekannt ist – einen weiteren Schutzmechanismus gibt es hier nicht.

Bank-Passwörter erbeutet
Viele Nutzer speichern Passwörter zu Bank-Apps und Bank-Webseiten auch im iCloud-Schlüsselbund – und die Diebe hatten dann natürlich Zugang zu diesen und verwendeten die Bank-Zugänge, um schnellstens Gelder auf eigene Konten zu überweisen. Das Wall Street Journal berichtet, dass manche Kunden fünfstellige Beträge auf diese Art und Weise verloren.

Momentan keine Lösung
Einen wirklichen Schutz gegen diese Taktik gibt es aktuell nicht. Es ist aber anzuraten, in der Öffentlichkeit auf Face ID oder Touch ID zurückzugreifen, denn so kann ein Dieb nicht den PIN-Code ausspionieren.

Apple liefert auch keine Lösung
Apple antwortete auf den Bericht – sagt aber lediglich, dass sich Sicherheitsforscher einig seinen, dass das iPhone das momentan sicherste Mobiltelefon sei und Apple unermüdlich an der Verbesserung arbeite. Cupertino würde diese Vorfälle ernst nehmen und genau untersuchen, auch wenn es sich um seltene Einzelfälle handele. Das Unternehmen will weiter an der Verbesserung der Sicherheitsmaßnahmen arbeiten, nennt aber keine konkreten Lösungsmöglichkeiten.

Kommentare

MacSquint
MacSquint27.02.23 08:30
Tja, wenn ich mir anschaue, wie oft ich wegen Face-ID dann doch die PIN eingeben muss, weil mich aus irgendwelchen Gründen mal wieder das iPhone nicht erkennt, dann wünsche ich mir dringend Touch-ID zurück.
Wie oft passiert es n einer Kasse oder in der U-Bahn, wo viele Leute um einen herum stehen.
Touch-ID war einfach viel zuverlässiger und bei meinem 12“ iPad Pro nervt es eigentlich nur, weil man ja nunmal ein iPad meistens im Quermodus benutzt und wiege da, man hat wieder mal die Kamera verdeckt oder sie erkennt einen nicht…
Mit Touch-ID war jedenfalls das Ausspähen der PIN viel weniger möglich…
+4
Gerhard100
Gerhard10027.02.23 08:47
zum Bezahlen an der Kasse war die Watch am zuverlässigsten. Keine Pineingabe, kein Touch, kein FaceID - hat wirklich immer funktioniert!

Das Problem mit der verdeckten Kamera bei iPad pro nervt hier auch, alledings war TouchID ebenfalls oft nicht optimal. Ich denke nur an die Sommermonate - sobald etwas Gartenarbeit oder irgendetwas Gröberes mit den Händen, schon wurde mein Finger nicht mehr erkannt und musste neu eingerichtet werden.
+12
Thomacintosh27.02.23 08:49
Touch ID zuverlässiger? Ich hab selten so gelacht.
MacSquint
Touch-ID war einfach viel zuverlässiger
+5
buffi
buffi27.02.23 08:57
Thomacintosh
Touch ID zuverlässiger? Ich hab selten so gelacht.
MacSquint
Touch-ID war einfach viel zuverlässiger

👍🏽👍🏽👍🏽
Can’t innovate anymore? My ass!
+3
Eric27.02.23 08:58
Thomacintosh
Touch ID zuverlässiger? Ich hab selten so gelacht.
MacSquint
Touch-ID war einfach viel zuverlässiger

Tatsächlich? Dann bist Du leicht zu erheitern…
Die Touch ID arbeitet sowohl an meinem in die Jahre gekommenen iPad 10,5 Pro, als auch an meiner Apple Tastatur zuverlässig und völlig unproblematisch; ich kann mich allerdings auch nicht über Face ID beschweren, auch damit habe ich fast nie Probleme.
+8
Electric Dave27.02.23 09:10
Wenn die PIN ausgespäht wird, was soll man da als Hersteller noch machen? Man könnte natürlich noch eine weitere Super-PIN für manche Aktionen definieren, aber dazu müssten die Leute das System erstmal nutzen wollen und sich auch sichere PINs ausdenken.

Ich würde gerne wissen, wieviele Telefone sich mit 1234 entsperren lassen … sicher nicht wenige.

Momentan finde ich die Kombination aus Biometrik und gelegentlicher PIN-Eingabe sehr gut gelöst.
+9
UWS27.02.23 09:12
Apropos Touch-ID vs Face-ID...ich habe da eher ein ganz praktisches Problem, da ich fast nur noch mit dem iPhone bezahle.

In vielen Geschäften ist der Terminal so angebracht, dass man das iPhone schräg hinter die Oberseite des Geräts halten muss. Für Face-ID muss man aber in die Kamera schauen, was aus diesem Winkel nicht möglich ist. Also iPhone nach vorne kippen und dann schnell wieder zurück...dabei kommt es gelegentlich schonmal zum Abbruch des Vorgangs oder Face-ID erkennt einen nicht und man muss die PIN vor versammeltem Publikum eingeben....das nervt...
There is no cloud…it’s just someone else’s computer.
-13
Mendel Kucharzeck
Mendel Kucharzeck27.02.23 09:13
Electric Dave
Das Problem liegt darin, dass man das iCloud-Passwort zurücksetzen kann – nur mit einem Gerät des Nutzers und der Pin. Hier wäre tatsächlich ein wie von dir vorgeschlagener zweiter (oder dritter, wie man es sehen mag) Faktor erforderlich.
+15
Raziel127.02.23 09:18
UWS
Apropos Touch-ID vs Face-ID...ich habe da eher ein ganz praktisches Problem, da ich fast nur noch mit dem iPhone bezahle.

In vielen Geschäften ist der Terminal so angebracht, dass man das iPhone schräg hinter die Oberseite des Geräts halten muss. Für Face-ID muss man aber in die Kamera schauen, was aus diesem Winkel nicht möglich ist. Also iPhone nach vorne kippen und dann schnell wieder zurück...dabei kommt es gelegentlich schonmal zum Abbruch des Vorgangs oder Face-ID erkennt einen nicht und man muss die PIN vor versammeltem Publikum eingeben....das nervt...

Was für Geräte? Was für Vorgänge? Meinst du Apple Pay? Da ist es doch egal wo und wie du das iPhone hinhalten musst. Hauptsache es wurde zuvor entsperrt. Ein zeitliches Timing von wenigen Sekunden gibt es da eigentlich nicht
+17
lenn1
lenn127.02.23 09:26
Electric Dave
Wenn die PIN ausgespäht wird, was soll man da als Hersteller noch machen?

Ich wollte erst Lösungsvorschläge schreiben, aber ich glaube du hast Recht !
Man kann ja nichtmal einfach sagen, das alte Passwort soll miteingegeben werden, weil der User ja auch einfach Zugriff auf die Mails & SMS hat und dann auch sämtliche Passwörter neu setzen lassen kann. Sprich es macht schon Sinn, das Apple das hier nicht verlangt, da es quasi keinen Mehrwert bietet.

Sie könnten allerdings vor Öffnen der iCloud Settings eine erneute FaceID bzw. Pin Eingabe vorher verlangen, dann haben Diebe wenigstens keine Möglichkeit ein bereits entsperrtes iPhone dann zurückzusetzen.
(iPhone wird beim Benutzen aus der Hand gerissen oder so.)
+3
xcomma27.02.23 09:27
Thomacintosh
Touch ID zuverlässiger? Ich hab selten so gelacht.
MacSquint
Touch-ID war einfach viel zuverlässiger

Beide arbeiten grundsätzlich zuverlässig, aber Touch ID ist bequemer (keine Blickwinkelabhängigkeit) und vor allem erheblich schneller in der Erkennung und damit Freischaltung des iDevices. Daher ist es unterm Strich komfortabler. Ich ziehe jederzeit auch Touch ID der Face ID vor - müsste (und könnte) man das bei neueren Geräten bei der Bestellung konfigurieren.

Achso, ja, in der Dunkelheit funktioniert Touch ID nachwievor, bei Face ID muss das nicht immer der Fall sein (eigentlich funktioniert das sogar eher selten).
-7
JanWellem27.02.23 09:29
Touch ID war auch zum "unauffälligen" Entsperren während irgendwelcher Besprechungen wesentlich besser geeignet.
+9
lenn1
lenn127.02.23 09:30
UWS
Apropos Touch-ID vs Face-ID...ich habe da eher ein ganz praktisches Problem, da ich fast nur noch mit dem iPhone bezahle.

In vielen Geschäften ist der Terminal so angebracht, dass man das iPhone schräg hinter die Oberseite des Geräts halten muss. Für Face-ID muss man aber in die Kamera schauen, was aus diesem Winkel nicht möglich ist. Also iPhone nach vorne kippen und dann schnell wieder zurück...dabei kommt es gelegentlich schonmal zum Abbruch des Vorgangs oder Face-ID erkennt einen nicht und man muss die PIN vor versammeltem Publikum eingeben....das nervt...

Hä ? Dann guck doch vorher drauf. Man muss das ja nicht machen während man es dagegen hält.

- Doppelt auf den Knopf drücken während man drauf schaut.
- "An das Lesegerät halten" - Meldung abwarten
- An das Terminal halten.

Da bricht nix vorher ab.
+16
Plüschprum27.02.23 09:33
Ich nutze Face-ID von Beginn an und möchte es nicht missen. Ansonsten empfehle ich halt vor der PIN-Eingabe das Hirn einzuschalten und aufzupassen.
+6
Peter Eckel27.02.23 09:36
Da infolge Touch ID die "PIN" selten einzugeben ist, halte ich es für mit der Bequemlichkeit vereinbar, statt einer numerischen PIN ein halbwegs sicheres Paßwort zu verwenden. Das reduziert die Wahrscheinlichkeit des Ausspähens gewaltig, zum einen weil die Tastatur zur Eingabe viel kleiner ist als die numerische für die PIN, zum anderen weil man sich ein sicheres Paßwort nicht so einfach beim unauffälligen Hinschauen merken kann. Halte ich so, seit das geht.

Abgesehen davon lagere ich halt auch keine relevanten Daten in iCloud ... aber das ist ein anderes Thema.
Ceterum censeo librum facierum esse delendum.
+7
verstaerker
verstaerker27.02.23 09:37
Electric Dave
Wenn die PIN ausgespäht wird, was soll man da als Hersteller noch machen?
die Änderung des iCloud Passworts nur über Zweifaktor-authorisierung? Oder einer Sicherheitsfrage.
+6
athlonet27.02.23 09:41
xcomma
Achso, ja, in der Dunkelheit funktioniert Touch ID nachwievor, bei Face ID muss das nicht immer der Fall sein (eigentlich funktioniert das sogar eher selten).
Hä? Wieso bitte sollte Face ID in der Dunkelheit nicht funktionieren?
Face ID arbeitet ja nicht mit dem sichtbaren Licht, sondern das projiziert dir ein Infrarot-Muster ins Gesicht und scannt das ab. Das funktioniert auch bei absoluter Dunkelheit absolut zuverlässig (eigene Erfahrung).
Du darfst nicht von der Gesichtserkennung anderer Hersteller auf Apple Face ID schließen
+16
Achtlos weggeworfener Vogel27.02.23 09:53
Das eigentliche Problem liegt beim Nutzer, der völlige Sorglosigkeit walten lässt, wenn er in der Öffentlichkeit seinen PIN-Code eingibt. Das kann man täglich sehen, wenn man z.B. in Öffis unterwegs ist. Und die Gruppe derer, die das doofe Telefon ständig vor sich haltend in der Öffentlichkeit herumtragen und auch ständig ON sein müssen, ist ja auch ziemlich groß. Schwupp, isses wech.
+2
Mendel Kucharzeck
Mendel Kucharzeck27.02.23 10:01
Achtlos weggeworfener Vogel
Das eigentliche Problem liegt beim Nutzer, der völlige Sorglosigkeit walten lässt, wenn er in der Öffentlichkeit seinen PIN-Code eingibt.

Da das aber viele machen, sollte Apple hier zusätzliche Sicherheitsmechanismen beim Verändern der Apple-ID einführen. Die Nutzer änderst du nicht, aber Apple kann die Sicherheit verbessern.
+6
UWS27.02.23 10:12
lenn1
Hä ? Dann guck doch vorher drauf. Man muss das ja nicht machen während man es dagegen hält.
ja, das sollte man eigentlich meinen...ich hab aber zwei Läden dabei, bei denen das einfach so nicht funktioniert, keine Ahnung warum...und die im Laden wissens auch nicht. Vielleicht ist es ja ein Fehler auf Seiten des Lesegeräts.
There is no cloud…it’s just someone else’s computer.
-2
vta27.02.23 10:13
Electric Dave
Ich würde gerne wissen, wieviele Telefone sich mit 1234 entsperren lassen … sicher nicht wenige.
Habe bei mir eine 8-stellige PIN mit Zahlen, Buchstaben (groß und klein), Sonderzeichen drauf. Mit der Eingabe bin ich ziemlich schnell, auch wenn natürlich eine 0 8 / 15 PIN schneller eingegeben ist.
Achtlos weggeworfener Vogel
Das eigentliche Problem liegt beim Nutzer, der völlige Sorglosigkeit walten lässt, wenn er in der Öffentlichkeit seinen PIN-Code eingibt.
Ich achte bei der Eingabe darauf, dass man mir nicht draufschaut. Selbst wenn es jemand schafft mich zu beobachten, muss er bei der Geschwindigkeit meiner Eingabe erstmal die richtigen Zeichen erkennen und sich die dann auch merken können.
+6
Kapitän27.02.23 10:41
MacSquint
Touch-ID war einfach viel zuverlässiger

Also bei mir funktioniert FaceID wesentlich besser als TouchID. Um Welten besser.
+6
Kapitän27.02.23 10:47
xcomma
Beide arbeiten grundsätzlich zuverlässig, aber Touch ID ist bequemer (keine Blickwinkelabhängigkeit) und vor allem erheblich schneller in der Erkennung und damit Freischaltung des iDevices. Daher ist es unterm Strich komfortabler. Ich ziehe jederzeit auch Touch ID der Face ID vor - müsste (und könnte) man das bei neueren Geräten bei der Bestellung konfigurieren.

Achso, ja, in der Dunkelheit funktioniert Touch ID nachwievor, bei Face ID muss das nicht immer der Fall sein (eigentlich funktioniert das sogar eher selten).

Meinst du echt FaceID oder irgendeine Erkennung von anderen Herstellern? FaceID funktioniert im dunklen, mit Maske und teilweise sogar mit Skibrille und Helm und zwar relativ schnell. Bei anderen Herstellern ohne Infrarot-Projektor mag das anders sein.
+2
colouredwolf27.02.23 10:49
ich hab ein langes Passwort mit sehr vielen Sonderzeichen, kleinen und großen Buchstaben, Zahlen.
Und dann benutz ich Face ID. Und Apple Pay nie im Laden.
+2
gritsch27.02.23 10:58
Mendel Kucharzeck
Electric Dave
Das Problem liegt darin, dass man das iCloud-Passwort zurücksetzen kann – nur mit einem Gerät des Nutzers und der Pin. Hier wäre tatsächlich ein wie von dir vorgeschlagener zweiter (oder dritter, wie man es sehen mag) Faktor erforderlich.

Oder wie bei der Rücksetzung anhand der E-Mail einfach ein Delay von mehreren Tagen. Bei der E-Mail sind es glaube ich 10 oder gar 30 Tage.
+3
Legoman
Legoman27.02.23 11:02
UWS
In vielen Geschäften ist der Terminal so angebracht, dass man das iPhone schräg hinter die Oberseite des Geräts halten muss....das nervt...
Ja, das nervt mich auch total. Mit der Uhr ist es kaum besser, da muss ich immer so den Arm verdrehen.
Ich wünschte mir, dass die Banken da mal was neues erfinden. Was kleines handliches, am besten schön flach und vielleicht so in der gleichen Größe wie Führerschein und Perso, damit es schön bequem in die Geldbörse passt. Das wär doch mal was... #firstworldproblems
+2
deus-ex
deus-ex27.02.23 11:05
MacSquint

Touch-ID war einfach viel zuverlässiger

Jeder hat andere Erfahrungen. Ich finde Face-ID deutlich weniger fehleranfällig als Touch-ID. Und bei Touch-ID musste ich auch deswegen öfter die Pin eingeben weil die Finger eben nicht immer ordentlich sauber wahren oder nicht korrekt aufliegen. Gerade bei den aktuellen iPads mit TochID auf der schmalen Schalter deutlich unzuverlässiger.
+4
bergdoktor27.02.23 11:07
Inzwischen finde ich Face-ID im Alltag auch zuverlässiger und komfortabler. Was ich aber überhaupt nicht verstehe, warum ich bei der Bildschirmzeit der Kinder immer den Pincode eingeben muss und nicht das biometrische Verfahren nutzen kann. Man muss so höllisch aufpassen, dass einem die Kinder oder andere dabei nicht über die Schulter schauen. Selbst bei einem schrägen Blickwinkel kann man aus der Bewegung des Fingers den Code zumindest erahnen.
+2
deus-ex
deus-ex27.02.23 11:08
Hier gehts nicht um Touch oder FaceID sonder darum wie Kriminelle immer wieder eine Lücke in doch sicheren Systemen finden. Hier muss man allerdings sagen, das echt ein großer Aufwand betrieben werden muss.
1. Pin Code herausfinden. Klingt deutlich einfacher als gedacht
2. Opfer gezielt observieren
3. Gerät stehlen
4. SOFORT Maßnahmen ergreifen das es dem Opfer unmöglich macht doch noch was zu retten.

100% Sicherheit gibt es halt nicht.
+5
deus-ex
deus-ex27.02.23 11:11
bergdoktor
Inzwischen finde ich Face-ID im Alltag auch zuverlässiger und komfortabler. Was ich aber überhaupt nicht verstehe, warum ich bei der Bildschirmzeit der Kinder immer den Pincode eingeben muss und nicht das biometrische Verfahren nutzen kann. Man muss so höllisch aufpassen, dass einem die Kinder oder andere dabei nicht über die Schulter schauen. Selbst bei einem schrägen Blickwinkel kann man aus der Bewegung des Fingers den Code zumindest erahnen.
Weil Toch und FaceID nur eine eine Komforteingabe des Pin Codes ist. Am Ende ist es trotzdem der PinCode der "im Hintergrunde" eingeben wird. Deswegen muss man den auch nach einem Neustart IMMER eingeben und kann erst dann wieder FaceID nutzen weil die FaceID denn dann wieder in Cache speichert. So grob gesagt.

Das die Bischirmzeiteinstellungen das noch nicht verwenden könnte ich mir dahingehen erklären das Änderungen nicht ungewollt durch blossen ansehen des Geräts bestätigt werden.
+1
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.