Categories: Sicherheit

Gefahr für iPhone-Nutzer: Zwei-Faktor-Authentifizierung nicht für Find My Phone verfügbar

Die von Hackern angedrohte Löschung von über 600 Millionen iPhones lenkt die Aufmerksamkeit erneut auf bewährte Methoden, um iCloud-Konten und iOS-Geräte sicher zu nutzen und die eigenen Daten zu schützen. Um fremde Zugriffe zu vermeiden, ist grundsätzlich die Zwei-Faktor-Authentifizierung zu empfehlen. Aber auch diese lässt noch einen Angriffsvektor offen, weil sie nicht für „Mein iPhone suchen“ (englisch „Find My iPhone“) verfügbar ist.

Wie tatsächlich ein potentiell verheerender Angriff über diese verbleibende Lücke erfolgen kann, erlebte im letzten Jahr Kapil Haresh, ein graduierter Informatikstudent an der kanadischen University of Waterloo. Er lieferte dazu einen ausführlichen Bericht zum Ablauf der Attacke und appellierte an Apple, rasch etwas gegen die Gefährdung zu unternehmen – wurde aber offenbar nicht gehört.

Fernlöschung über „Find My iPhone“ bleibt möglich (Screenshot: Kapil Haresh).

Durch einen „Mein iPhone suchen“-Alarm auf dem Sperrbildschirm wurde der Student darauf aufmerksam, dass etwas nicht stimmte. Mit „He, warum hast du mein iPhone gesperrt, haha“, wollte ihn jemand reizen. „Ruf mich an bei (123) 456-7890.“ Der Student begriff schnell, dass jemand seine Apple-ID kompromittiert hatte – wie es eben wieder eine unbekannte Zahl anderer Nutzer erfahren muss, da zumindest teilweise die Echtheit der von Erpressern erbeuteten Apple-Kontodaten bestätigt wurde.

Haresh wurde außerdem klar, dass der Angreifer vermutlich versuchen würde, all seine verbundenen Apple-Geräte zu löschen. Durch das Versetzen des iPhones in den Verloren-Modus hatte ihn der offenbar nicht besonders kluge Gegenspieler aber gewarnt und ihm Zeit gegeben, gerade noch rechtzeitig zu reagieren. Der Informatikstudent ging mit all seinen Geräten offline, um das Löschen aus der Ferne zu verhindern. Bei einer späteren Anmeldung bei iCloud sah er tatsächlich den anstehenden Löschauftrag und konnte ihn aufheben.

Kapil Haresh hatte sich schon frühzeitig für Zwei-Faktor-Authentifizierung (2FA) entscheiden, nachdem er 2012 von einem Angriff auf den US-Journalisten Mat Honan erfuhr, der mit Apples iCloud-Dienst einen persönlichen Albtraum erlebte. Ausgerechnet Apples eigener Support hatte ermöglicht, dass ein Angreifer seine Geräte und weitere Konten übernehmen konnte, um sie für seine Zwecke zu missbrauchen.

Warum also hatte ihn die Zwei-Faktor-Authentifizierung jetzt nicht besser schützen können? Der Hacker hatte dennoch Zugriff auf „Mein iPhone suchen“ bekommen und war zugleich in der Lage, Geräte aus der Ferne zu löschen. Entscheidet sich ein Nutzer bei Apple für 2FA, entfallen dafür die bisherigen Sicherheitsfragen und Antworten zur Wiederherstellung des Kennworts. Wer es vergisst, benötigt nun zusätzlich zum Kennwort einen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird. Damit soll das Konto vor der Übernahme durch einen Angreifer geschützt werden, solange er nicht zugleich auf das ausgewählte Empfangsgerät zugreifen kann.

Bei „Mein iPhone suchen“ entschied sich Apple offenbar für eine weniger sichere Lösung ohne Zwei-Faktor-Authentifizierung, um den es Betroffenen nicht zu schwer zu machen. Wer sein iPhone sucht, hat es natürlich eben dann nicht zur Hand und kann den zusätzlichen Bestätigungscode nicht empfangen.

Für den vorgewarnten und schnell reagierenden Informatikstudenten ging der Angriff zwar noch einmal glimpflich aus, aber das wäre bei vielen Nutzern wohl anders gelaufen. Er schlug daher als naheliegende Lösung für das Problem vor: Statt des einmaligen Bestätigungscodes sollte der iPhone-Hersteller als zweite Authentifizierungsebene bei „Mein iPhone suchen“ zumindest wieder eine ausgewählte Sicherheitsfrage stellen.

„Apple sollte sich wirklich schnell darum kümmern“, argumentierte er. „Ich möchte mir nicht vorstellen, wie mein iPhone zu einem zufälligen Zeitpunkt gelöscht wird, während ich mit dem Auto unterwegs bin und und mir CarPlay Richtungsanweisungen gibt – oder während HomeKit zuhause Smart-Home-Geräte steuert. Das gilt noch mehr, da wir in den nächsten Jahren wahrscheinlich eine stärkere Integration mit CarPlay und HomeKit sehen werden.“

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

17 Prozent der Bundesbürger bereits auf Phishing hereingefallen

Mehr als die Hälfte der Nutzer in Deutschland kann nach eigenen Angaben Phishing und Spam…

37 Minuten ago

Salesforce schmiedet Datenallianz

Der CRM-Marktführer stellt ein neues Ökosystem vor, das die Integration von Kunden- und Marktdaten erleichtern…

10 Stunden ago

Microsoft veröffentlicht Notfall-Update für Windows Server 2019

Unter Umständen können derzeit die Mai-Patches für Windows Server 2019 nicht installiert werden. Das Update…

22 Stunden ago

Malware Gipy stiehlt Passwörter und Daten

Malware-Kampagne nutzt Beliebtheit von KI-Tools aus und tarnt sich als KI-Stimmengenerator und wird über Phishing-Webseiten…

2 Tagen ago

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…

3 Tagen ago

Außerplanmäßiges Update schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…

4 Tagen ago