Gefahr für iPhone-Nutzer: Zwei-Faktor-Authentifizierung nicht für Find My Phone verfügbar

Bei kompromittierten Apple-Zugangsdaten kann auch Zwei-Faktor-Authentifizierung die Löschung aus der Ferne nicht verhindern. Ein Informatikstudent macht diese Erfahrung und fordert Apple vergeblich zur Schließung der verbliebenen Lücke auf.

Die von Hackern angedrohte Löschung von über 600 Millionen iPhones lenkt die Aufmerksamkeit erneut auf bewährte Methoden, um iCloud-Konten und iOS-Geräte sicher zu nutzen und die eigenen Daten zu schützen. Um fremde Zugriffe zu vermeiden, ist grundsätzlich die Zwei-Faktor-Authentifizierung zu empfehlen. Aber auch diese lässt noch einen Angriffsvektor offen, weil sie nicht für „Mein iPhone suchen“ (englisch „Find My iPhone“) verfügbar ist.

Wie tatsächlich ein potentiell verheerender Angriff über diese verbleibende Lücke erfolgen kann, erlebte im letzten Jahr Kapil Haresh, ein graduierter Informatikstudent an der kanadischen University of Waterloo. Er lieferte dazu einen ausführlichen Bericht zum Ablauf der Attacke und appellierte an Apple, rasch etwas gegen die Gefährdung zu unternehmen – wurde aber offenbar nicht gehört.

Fernlöschung über "Find My iPhone" bleibt möglich (Screenshot: Kapil Haresh).Fernlöschung über „Find My iPhone“ bleibt möglich (Screenshot: Kapil Haresh).

Durch einen „Mein iPhone suchen“-Alarm auf dem Sperrbildschirm wurde der Student darauf aufmerksam, dass etwas nicht stimmte. Mit „He, warum hast du mein iPhone gesperrt, haha“, wollte ihn jemand reizen. „Ruf mich an bei (123) 456-7890.“ Der Student begriff schnell, dass jemand seine Apple-ID kompromittiert hatte – wie es eben wieder eine unbekannte Zahl anderer Nutzer erfahren muss, da zumindest teilweise die Echtheit der von Erpressern erbeuteten Apple-Kontodaten bestätigt wurde.

Haresh wurde außerdem klar, dass der Angreifer vermutlich versuchen würde, all seine verbundenen Apple-Geräte zu löschen. Durch das Versetzen des iPhones in den Verloren-Modus hatte ihn der offenbar nicht besonders kluge Gegenspieler aber gewarnt und ihm Zeit gegeben, gerade noch rechtzeitig zu reagieren. Der Informatikstudent ging mit all seinen Geräten offline, um das Löschen aus der Ferne zu verhindern. Bei einer späteren Anmeldung bei iCloud sah er tatsächlich den anstehenden Löschauftrag und konnte ihn aufheben.

Kapil Haresh hatte sich schon frühzeitig für Zwei-Faktor-Authentifizierung (2FA) entscheiden, nachdem er 2012 von einem Angriff auf den US-Journalisten Mat Honan erfuhr, der mit Apples iCloud-Dienst einen persönlichen Albtraum erlebte. Ausgerechnet Apples eigener Support hatte ermöglicht, dass ein Angreifer seine Geräte und weitere Konten übernehmen konnte, um sie für seine Zwecke zu missbrauchen.

Warum also hatte ihn die Zwei-Faktor-Authentifizierung jetzt nicht besser schützen können? Der Hacker hatte dennoch Zugriff auf „Mein iPhone suchen“ bekommen und war zugleich in der Lage, Geräte aus der Ferne zu löschen. Entscheidet sich ein Nutzer bei Apple für 2FA, entfallen dafür die bisherigen Sicherheitsfragen und Antworten zur Wiederherstellung des Kennworts. Wer es vergisst, benötigt nun zusätzlich zum Kennwort einen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird. Damit soll das Konto vor der Übernahme durch einen Angreifer geschützt werden, solange er nicht zugleich auf das ausgewählte Empfangsgerät zugreifen kann.

Bei „Mein iPhone suchen“ entschied sich Apple offenbar für eine weniger sichere Lösung ohne Zwei-Faktor-Authentifizierung, um den es Betroffenen nicht zu schwer zu machen. Wer sein iPhone sucht, hat es natürlich eben dann nicht zur Hand und kann den zusätzlichen Bestätigungscode nicht empfangen.

Für den vorgewarnten und schnell reagierenden Informatikstudenten ging der Angriff zwar noch einmal glimpflich aus, aber das wäre bei vielen Nutzern wohl anders gelaufen. Er schlug daher als naheliegende Lösung für das Problem vor: Statt des einmaligen Bestätigungscodes sollte der iPhone-Hersteller als zweite Authentifizierungsebene bei „Mein iPhone suchen“ zumindest wieder eine ausgewählte Sicherheitsfrage stellen.

„Apple sollte sich wirklich schnell darum kümmern“, argumentierte er. „Ich möchte mir nicht vorstellen, wie mein iPhone zu einem zufälligen Zeitpunkt gelöscht wird, während ich mit dem Auto unterwegs bin und und mir CarPlay Richtungsanweisungen gibt – oder während HomeKit zuhause Smart-Home-Geräte steuert. Das gilt noch mehr, da wir in den nächsten Jahren wahrscheinlich eine stärkere Integration mit CarPlay und HomeKit sehen werden.“

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

Kostenloses Live-Webinar: Rechtzeitig compliant!

Erfahren Sie am 08.12.2017 um 10:30 Uhr im kostenlosen Live-Webinar mit David Pütz von KYOCERA, wie Ihnen Dokumentenlösungen helfen können, die Vorgaben der EU-Datenschutzgrundverordnung umzusetzen, die im Mai 2018 in Kraft tritt. Informieren Sie sich jetzt, denn den Unternehmen, die die Anforderungen der EU-DSGVO nicht erfüllen, drohen empfindliche Strafen.

Themenseiten: Apple, Datenschutz, Hacker, Sicherheit, iPhone, icloud

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

14 Kommentare zu Gefahr für iPhone-Nutzer: Zwei-Faktor-Authentifizierung nicht für Find My Phone verfügbar

Kommentar hinzufügen
  • Am 25. März 2017 um 7:52 von ATX

    Bei Verlust eines Gerätes sollte man prinzipiell das Passwort ändern. Man kann Apple keine Vorwürfe machen, nur weil man einfach zu faul ist zu handeln. Viele haben auch nur sehr kurze einprägsame Passworte, die schnell erraten werden können. Wie gesagt: Die Sicherheit seines Accounts hat jeder selbst in der Hand. Das betrifft auch den Fakt, für verschiedene Dienste verschiedene Passwörter zu nutzen. Auch hier ist die Bequemlichkeit Ursache für Probleme.

    • Am 25. März 2017 um 9:36 von C

      Du siehst den Wald vor lauter Bäumen nicht.

      • Am 28. März 2017 um 1:03 von John

        Damit hast du den Nagel auf den Kopf getroffen!

  • Am 25. März 2017 um 9:50 von C

    Also, das ist sicher kein Apfel-Problem, denn der Apfel ist sicher. Hat der Apfel gesagt. Und Tim Cook auch.

    Und wenn Studenten, Sicherheitsforscher & Tatsachen (zuletzt CanSecWest) was anderes beweisen, dann haben all diese eben Unrecht. Schließlich sagte doch Phil Schiller, man habe „Tausende von Arbeits-Stunden verbracht“ als sie den iPod von Kane Kramer 1:1 kopierten. Und so ist es auch hier. Wenn ein Schaden eintritt, hat der User halt Schuld. „You are holding it wrong…“. Eben.

    Als Apfel-User – falls von der Attacke betroffen – sollte man sich nicht beschweren. Man hat schließlich VORHER gewusst, worauf man sich eingelassen hat. Und wer sich bevormunden & entmündigen lässt, soll sich nicht beschweren wenn die von Anderen für ihn getroffenen Entscheidungen falsch sind und sich beim User verheerend auswirken. Kein Mitleid hier. Der Apfel ist sicher. Basta!
    Haben unsere Apfel-Freunde hier im Forum jahrelang propagiert. Nun, verlasst euch halt drauf.

    • Am 25. März 2017 um 21:05 von Tom Smith

      Was hat das mit „bevormunden & entmündigen“ zu tun wenn man Apple Produkte benutzt die unumstritten die größte Sicherheit bieten. OK, 100% Sicherheit gibt es natürlich nie. Wenn ich aber sehe was man z.B. mit der App „Androidlost“ anstellen kann wird mir schwindelig. Deshalb sind Android Geräte als „Firmenhandy“ in unserem Unternehmen verboten und es werden ausschließlich iPhones verwendet. Das war keine Entscheidung der Geschäftsleitung sonder der IT Abteilung. Außerdem werden alle 3 Monate die Passwörter der insgesamt ca. 300 iPhones erneuert. Und diese Passwörter gibt die IT vor. Wer auch privat so vorgeht hat zu 99% nichts zu befürchten … wie schon geschrieben … 100% gibt es nicht/nie !

      • Am 26. März 2017 um 13:03 von C

        Zitat:
        „…die unumstritten die größte Sicherheit bieten.“

        Gut, dass Du das noch eingeschränkt und die Kurve gekriegt hast.
        Aber, es ist nicht unumstritten, es sind die vorhandenen Apfel-Lücken nur noch nicht einem breiten Publikum bekannt. Von daher, keine bessere/schlechtere Sicherheit als bei anderen Plattformen.

        Wenn eure IT glaubt, dass sie eine guten Wahl getroffen hat, soll sie zunächst daran weiter glauben…bis der Tag X kommt. Wie bei den Promis mit den Bildern… Hauptsache, ihr „fühlt“ euch sicher.

        Der Apfel schränkt die Freiheitsgrade & Nutzung seiner Produkte/Lösungen ein. Ihr habt keine eigene Wahl, wie lange Ihr eure iPhones nutzen könnt. Das bestimmt der Apfel über den iOS Support-Zeitraum. Ihr könnt ebenso nicht andere OS auf den Geräten installieren. Der Apfel hat das alles schön „dicht“ gemacht und hält mit den Infos sich zurück. Wegwerf-Artikel also letztendlich.

        Wenn Du glaubst, mit PW-Wechsel allein wird Deine Sicherheit gewährleistet, dann handle danach. Dir ist aber schon klar, dass iOS User-Daten sammelt und Phone-Home praktiziert? Wo ist denn da Deine Sicherheit geblieben?

  • Am 25. März 2017 um 18:34 von Franz Ch

    wie soll das funktionieren? Es werden jährlich hunderte IPHONE gestohlen. Es es wieder zu finden wird öfters IPHONE suche verwendet. Und daher ist es unmöglich am gestohlene Handy Bestätigungsmail SMS zu erhalten.

    Franz

    • Am 26. März 2017 um 14:21 von ATX

      Es sind keine Mails sondern Meldungen über Facetime. Ein kleiner aber feiner Unterschied. Und es gibt Möglichkeiten über den Aspekt Verwaltung meiner Apple-ID. Sicher ist Ihnen das Unbekannt. Man kann auch meherer Geräte angeben die den Bestätigungscode empfangen. zB. ein iPad oder ein beliebiges SMS fähiges Telefon. Aber das kennen die Selbsternannten Fachkräfte nicht weil Sie zu faul sind sich zu informieren.
      So nebenbei ich hatte als erstes ein Android Telefon. Auf Grund der hervorragenden Versorgung mit Updates und Sicherheitsupdates (0,4 Jahre nach Kauf) habe ich beschlossen Android aus meinem haushalt zu verbannen.

  • Am 26. März 2017 um 9:15 von Mac-Harry

    Was ist denn die Alternative? WinPhone dass es nicht mehr gibt? Oder ein Android, dass von einer Werbefirma kommt?

    Dann lieber ein grundsolides iPhone!

    Und das hier ist sowieso eine Scheindiskussion.

    • Am 26. März 2017 um 13:16 von C

      Die Alternative ist ein freies, sicheres & aktuelles Linux.

      Leider hat es Mozilla falsch angefangen (Firefox OS) und ist damit gescheitert. Aktuell verbleiben nur LineageOS und die XDA Kollegen.

      Und – das „grundsolide iPhone“ meldet schön die User-Daten (immer mehr in jeder neuen iOS-Version) an den Apfel. Wo doch angeblich der Apfel eine HW-Company sein will die massiv & immer mehr User-Daten abgreift.
      Wo ist da der Unterschied zum Google-Android, dass exakt das Gleiche macht?
      Unabhängig davon ist es unverantwortlich, was Google mit seiner Update- und Zwei-Jahre-Nutzungs-Politik betreibt. Genau genommen: unakzeptabel.

      Wenn das doch eine „Schein-Diskussion“ sein soll, kann Du Dich ja (und all die anderen Millionen Apfel-User) beruhigt zurück lehnen und abwarten – bis alle Deine Daten auf einmal weg sind. Upps!
      Du musst ja sowieso ungeplant bald neue MacBook Pro´s für die Family kaufen – kommen jetzt mit >16 GB RAM bald. Und neue Farben gibt es beim iPhone-7 auch.

    • Am 26. März 2017 um 14:52 von Pippi Langstrumpf

      Einfach ein solides Passwort verwenden, und dann eben dieses nur bei Apple verwenden, und nicht beim Mail Provider, etc., und die Sicherheitsfragen bieten zusätzliche Sicherheit.

      Für sehr Pfiffige: die Sicherheitsfragen muss man nicht wahrheitsgemäß beantworten, so dass selbst Bekannte diese nicht erraten dürften. Wenn das erste Auto eines der Marke BMW (Beispiel) war, gibt man eben „PippiLangstrumpf‘ als Antwort ein, und beim Namen des ersten Haustiers die ersten sechs Stellen der Kontonummer seiner Bank. Macht die Sache für Hacker etwas schwieriger. ;-)

      Wenn man das alles beachtet, kommt man nur dann in die Bredouille, wenn Apples Systeme gehackt würden. Dann hätte man aber eh noch andere Probleme.

      Selbst wenn ich das ganze Thema für einen Hoax halte, habe ich die Gelegenheit genutzt, um mein Passwort zu ändern. Schadet nix, wenn man das ab und an mal macht.

  • Am 27. März 2017 um 11:15 von M@tze

    @C Dir ist doch einfach langweilig, oder? Apfelmeldung -> *zack* Hassbeitrag. Ich habe eben die Meldung „Motorola Moto G5 ab sofort im Handel erhältlich“ (https://goo.gl/FzIgXO) gelesen, wo ein User (verständlicherweise) im Kommentar gejammert hat, dass sein Motorola G4 noch auf dem Patchlevel July 2016 ist und warum er ein neues Motorola kaufen soll, wenn nicht mal das Vorgängermodell noch aktuell gepflegt wird. Habe ich (oder ein anderer Apple User) deswegen einen „“Haha, dummer Android User!! Kauf doch ein Apple Gerät!11! Wer billig kauft, kauft zweimal! Was erwartest Du bei einem 200€ Handy?“ oder etwas ähnlich niveauvolles drunter geschrieben? Nein – ist mir zu dumm. Und jetzt komm mir nicht mit XDA, CM oder so was. 99% der Android User wissen nicht mal was das ist, geschweige denn könnten die das umsetzen. BTT: Ich bin darüber nicht begeistert und hätte nicht erwartet, dass das mit eingeschalteter 2FA möglich ist. Vor allem wenn ich mehrere Apple Geräte habe, an welche der Code dann ersatzweise geschickt werden könnte.

    • Am 27. März 2017 um 15:43 von Hi, hi...

      …nun, der vereinsamte Großbuchstabe könnte jetzt mit dem Hinweis kommen, dass Apple-Nutzer zu wenig intelligent sind, um solche außergewöhnlich klugen Bemerkungen unter die LG-Meldung setzen zu können. Schließlich sind es „Apple-Nutzer“. Die sind doch nach einhelliger zdnet-Anti-Apple-Kommentatoren-Meinung zu Allem zu blöde, weil sie Appleprodukte nutzen. ;)

  • Am 8. Mai 2017 um 10:28 von Agnes

    … leider ist mein Handy am Wochenende genau so gesperrt worden. Ein „freundliche“ Nachricht auf dem Dasplay sich an googlepass04@gmail.com zu wenden und eine Codeaufforderung ist das Ergebnis dieses Angriffs. Vom Apple Support war leider keine Hilfe zu bekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *