Gefahr für iPhone-Nutzer: Zwei-Faktor-Authentifizierung nicht für Find My Phone verfügbar

Die von Hackern angedrohte Löschung von über 600 Millionen iPhones lenkt die Aufmerksamkeit erneut auf bewährte Methoden, um iCloud-Konten und iOS-Geräte sicher zu nutzen und die eigenen Daten zu schützen. Um fremde Zugriffe zu vermeiden, ist grundsätzlich die Zwei-Faktor-Authentifizierung zu empfehlen. Aber auch diese lässt noch einen Angriffsvektor offen, weil sie nicht für „Mein iPhone suchen“ (englisch „Find My iPhone“) verfügbar ist.

Wie tatsächlich ein potentiell verheerender Angriff über diese verbleibende Lücke erfolgen kann, erlebte im letzten Jahr Kapil Haresh, ein graduierter Informatikstudent an der kanadischen University of Waterloo. Er lieferte dazu einen ausführlichen Bericht zum Ablauf der Attacke und appellierte an Apple, rasch etwas gegen die Gefährdung zu unternehmen – wurde aber offenbar nicht gehört.

Fernlöschung über „Find My iPhone“ bleibt möglich (Screenshot: Kapil Haresh).

Durch einen „Mein iPhone suchen“-Alarm auf dem Sperrbildschirm wurde der Student darauf aufmerksam, dass etwas nicht stimmte. Mit „He, warum hast du mein iPhone gesperrt, haha“, wollte ihn jemand reizen. „Ruf mich an bei (123) 456-7890.“ Der Student begriff schnell, dass jemand seine Apple-ID kompromittiert hatte – wie es eben wieder eine unbekannte Zahl anderer Nutzer erfahren muss, da zumindest teilweise die Echtheit der von Erpressern erbeuteten Apple-Kontodaten bestätigt wurde.

Haresh wurde außerdem klar, dass der Angreifer vermutlich versuchen würde, all seine verbundenen Apple-Geräte zu löschen. Durch das Versetzen des iPhones in den Verloren-Modus hatte ihn der offenbar nicht besonders kluge Gegenspieler aber gewarnt und ihm Zeit gegeben, gerade noch rechtzeitig zu reagieren. Der Informatikstudent ging mit all seinen Geräten offline, um das Löschen aus der Ferne zu verhindern. Bei einer späteren Anmeldung bei iCloud sah er tatsächlich den anstehenden Löschauftrag und konnte ihn aufheben.

Kapil Haresh hatte sich schon frühzeitig für Zwei-Faktor-Authentifizierung (2FA) entscheiden, nachdem er 2012 von einem Angriff auf den US-Journalisten Mat Honan erfuhr, der mit Apples iCloud-Dienst einen persönlichen Albtraum erlebte. Ausgerechnet Apples eigener Support hatte ermöglicht, dass ein Angreifer seine Geräte und weitere Konten übernehmen konnte, um sie für seine Zwecke zu missbrauchen.

Warum also hatte ihn die Zwei-Faktor-Authentifizierung jetzt nicht besser schützen können? Der Hacker hatte dennoch Zugriff auf „Mein iPhone suchen“ bekommen und war zugleich in der Lage, Geräte aus der Ferne zu löschen. Entscheidet sich ein Nutzer bei Apple für 2FA, entfallen dafür die bisherigen Sicherheitsfragen und Antworten zur Wiederherstellung des Kennworts. Wer es vergisst, benötigt nun zusätzlich zum Kennwort einen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird. Damit soll das Konto vor der Übernahme durch einen Angreifer geschützt werden, solange er nicht zugleich auf das ausgewählte Empfangsgerät zugreifen kann.

Bei „Mein iPhone suchen“ entschied sich Apple offenbar für eine weniger sichere Lösung ohne Zwei-Faktor-Authentifizierung, um den es Betroffenen nicht zu schwer zu machen. Wer sein iPhone sucht, hat es natürlich eben dann nicht zur Hand und kann den zusätzlichen Bestätigungscode nicht empfangen.

Für den vorgewarnten und schnell reagierenden Informatikstudenten ging der Angriff zwar noch einmal glimpflich aus, aber das wäre bei vielen Nutzern wohl anders gelaufen. Er schlug daher als naheliegende Lösung für das Problem vor: Statt des einmaligen Bestätigungscodes sollte der iPhone-Hersteller als zweite Authentifizierungsebene bei „Mein iPhone suchen“ zumindest wieder eine ausgewählte Sicherheitsfrage stellen.

„Apple sollte sich wirklich schnell darum kümmern“, argumentierte er. „Ich möchte mir nicht vorstellen, wie mein iPhone zu einem zufälligen Zeitpunkt gelöscht wird, während ich mit dem Auto unterwegs bin und und mir CarPlay Richtungsanweisungen gibt – oder während HomeKit zuhause Smart-Home-Geräte steuert. Das gilt noch mehr, da wir in den nächsten Jahren wahrscheinlich eine stärkere Integration mit CarPlay und HomeKit sehen werden.“

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.