Apple: Keine Zwei-Faktor-Authentifizierung bei „Find My Phone“

(Bild: Fernlöschung über "Find My iPhone" bleibt möglich (Screenshot: Kapil Haresh).)

Apple sollte seine Sicherheit noch verbessern, um iOS-Nutzer vor Fernlöschungen seiner Geräte zu schützen. So gibt es bei der Funktion "Find my iPhone" keine Zwei-Faktor-Authentifizierung.

Ein Informatikstudent hat entdeckt, dass Apple noch mehr für die Sicherheit von iOS-Nutzern tun könnte. Bei der Funktion „Mein iPhone suchen“ („Find My iPhone“) gibt es keine Zwei-Faktor-Authentifizierung. Wer das Kennwort des iTunes-Accounts hat, kann die Geräte des Nutzers aus der Ferne löschen.

Wie tatsächlich ein potentiell verheerender Angriff über diese verbleibende Lücke erfolgen kann, erlebte im letzten Jahr Kapil Haresh, ein graduierter Informatikstudent an der kanadischen University of Waterloo. Er lieferte dazu einen ausführlichen Bericht zum Ablauf der Attacke und appellierte an Apple, rasch etwas gegen die Gefährdung zu unternehmen – wurde aber offenbar nicht gehört.

Lies auch: Apple-Konto: Vorsicht vor Phishing-Attacke

Durch einen „Mein iPhone suchen“-Alarm auf dem Sperrbildschirm wurde der Student darauf aufmerksam, dass etwas nicht stimmte. Mit „He, warum hast du mein iPhone gesperrt, haha“, wollte ihn jemand reizen. „Ruf mich an bei (123) 456-7890.“ Der Student begriff schnell, dass jemand seine Apple-ID kompromittiert hatte – wie es eben wieder eine unbekannte Zahl anderer Nutzer erfahren muss, da zumindest teilweise die Echtheit der von Erpressern erbeuteten Apple-Kontodaten bestätigt wurde.

Haresh wurde außerdem klar, dass der Angreifer vermutlich versuchen würde, all seine verbundenen Apple-Geräte zu löschen. Durch das Versetzen des iPhones in den Verloren-Modus hatte ihn der offenbar nicht besonders kluge Gegenspieler aber gewarnt und ihm Zeit gegeben, gerade noch rechtzeitig zu reagieren. Der Informatikstudent ging mit all seinen Geräten offline, um das Löschen aus der Ferne zu verhindern. Bei einer späteren Anmeldung bei iCloud sah er tatsächlich den anstehenden Löschauftrag und konnte ihn aufheben.

Kapil Haresh hatte sich schon frühzeitig für Zwei-Faktor-Authentifizierung (2FA) entscheiden, nachdem er 2012 von einem Angriff auf den US-Journalisten Mat Honan erfuhr, der mit Apples iCloud-Dienst einen persönlichen Albtraum erlebte. Ausgerechnet Apples eigener Support hatte ermöglicht, dass ein Angreifer seine Geräte und weitere Konten übernehmen konnte, um sie für seine Zwecke zu missbrauchen.

Lies auch: iCloud-Nacktfotos: Hacker muss in den Knast

Warum also hatte ihn die Zwei-Faktor-Authentifizierung jetzt nicht besser schützen können? Der Hacker hatte dennoch Zugriff auf „Mein iPhone suchen“ bekommen und war zugleich in der Lage, Geräte aus der Ferne zu löschen. Entscheidet sich ein Nutzer bei Apple für 2FA, entfallen dafür die bisherigen Sicherheitsfragen und Antworten zur Wiederherstellung des Kennworts. Wer es vergisst, benötigt nun zusätzlich zum Kennwort einen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird. Damit soll das Konto vor der Übernahme durch einen Angreifer geschützt werden, solange er nicht zugleich auf das ausgewählte Empfangsgerät zugreifen kann.

Bei „Mein iPhone suchen“ entschied sich Apple offenbar für eine weniger sichere Lösung ohne Zwei-Faktor-Authentifizierung, um den es Betroffenen nicht zu schwer zu machen. Wer sein iPhone sucht, hat es natürlich eben dann nicht zur Hand und kann den zusätzlichen Bestätigungscode nicht empfangen.

Für den vorgewarnten und schnell reagierenden Informatikstudenten ging der Angriff zwar noch einmal glimpflich aus, aber das wäre bei vielen Nutzern wohl anders gelaufen. Er schlug daher als naheliegende Lösung für das Problem vor: Statt des einmaligen Bestätigungscodes sollte der iPhone-Hersteller als zweite Authentifizierungsebene bei „Mein iPhone suchen“ zumindest wieder eine ausgewählte Sicherheitsfrage stellen.

„Apple sollte sich wirklich schnell darum kümmern“, argumentierte er. „Ich möchte mir nicht vorstellen, wie mein iPhone zu einem zufälligen Zeitpunkt gelöscht wird, während ich mit dem Auto unterwegs bin und und mir CarPlay Richtungsanweisungen gibt – oder während HomeKit zuhause Smart-Home-Geräte steuert. Das gilt noch mehr, da wir in den nächsten Jahren wahrscheinlich eine stärkere Integration mit CarPlay und HomeKit sehen werden.“

Tipp: Wie gut kennst Du Apple? Überprüfe Dein Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising