iOS Sicherheitssysteme etwas löchrig

    Folgendes Video zeigt wie man mit einem verlorenem iPhone seine komplette Online Identität an einen fremden verliert. Selbst ein 200 stelliges Passwort hilft nichts, da jeder Provider einem ein vergessenes Passwort ohne Probleme zurücksetzen lässt. Hat ein Dieb das iPhone samt funktionierendem eMail Zugang gehen auch alle weiteren Zugänge an den Dieb über.


    http://www.youtube.com/embed/LXZ6yUsn0v8


    Ich dachte immer:
    - ich habe ein gutes Passwort
    - ich nutze "Find My iPhone"


    das sollte relativ sicher sein. Aber wie folgendes Video zeigt müsste Apple hier ein wenig feinjustieren.


    Was bringt mir das stärkste Passwort wenn es jedem Dieb erlaubt die "Passwort vergessen" Funktion zu nutzen. Apple sollte einem das Passwort rücksetzen nicht auf dem Gerät instalierten eMail Account zulassen.


    Das Video hat mich doch ein wenig ängstlich gemacht. Bei Verlust des Gerätes bekommt auch der Dieb die volle Kontrolle über die AppleID und auch noch auf die auf dem Gerät installierten eMail Accounts und das ohne ein Passwort zu kennen.


    Jeder eMail Provider schickt einem den Passwort zurücksetzen Link auf dem Silbertablett. Der Dieb muss nur auf dem Gerät die eMails abrufen und der eMail Account ist für immer und ewig verloren.


    Ich habe mich durch ein starkes Passwort immer etwas sicherer gefühlt. An die Möglichkeit das jeder mein Passwort zurücksetzen kann habe ich nie gedacht. :eek:


    Was ich auch nie Beachtung geschenkt habe. Mit Siri oder dem ControlCenter kann ein Dieb den Airplane Mode aktivieren und somit jegliches Fernlöschen binnen einer Sekunde perfekt verhindern. Also sollte man zur eigenen Sicherheit Siri und das ControlCenter im Lockscreen abschalten.


    Ich habe das aus Komfortgründen immer an gehabt.


    edit: Ein Dieb kann das iPhone ja auch einfach ausschalten anstatt den Flugmodus zu aktivieren. Also bringt vorheriger Tip ja auch Null Mehrgewinn an Sicherheit.


    edit2: Ist es nicht so dass ich erst zwei Fragen aus meinem Fragenkatalog beantworten muss (Wie heiß dein bester Schulfreund? Wie hies die Straße in der du als Kind gewohnt hast?). Diese Antworten sollte ein Unbekannter eigentlich nicht kennen und kann, so wie in dem Video gezeigt, auch das Passwort nicht zurücksetzen.


    Nichtsdesto trotz sollte Apple den "Passwort vergessen"-Link nicht an die gleiche eMail Adresse wie die verknüpfte AppleID schicken. Wie man dann an ein vergessenes Passwort kommt sollte Apple dann überdenken. Aber doch nicht über die gleiche eMai Adresse. Das ist wie den Hausschlüssel unter den Fußabstreifer zu legen.

    Naja, wenn man ControlCenter im Lockscreen deaktiviert hat, so kann man auch mittels Siri nicht in den Flugmodus. Dies verhindert schon das ganze Szenario, da ein ausschalten das weitere Prozedere ja verhindert (E-Mail empfangen...). Weiterhin muss man ja auch erst den Fingerabdruck herstellen können. Ich habe gerade mal geschaut am iPhone und habe keinen (so denke ich) nutzbaren Fingerabdruck am iPhone selbst gefunden.

    "You can't connect the dots looking forward, you can only connect them looking backwards. So you have to trust that the dots will somehow connect in your future. You have to trust in something — your god, destiny, life, karma, whatever." Steve Jobs

    Re: iOS Sicherheitssysteme etwas löchrig


    Zitat

    Original geschrieben von MiaForster
    edit2: Ist es nicht so dass ich erst zwei Fragen aus meinem Fragenkatalog beantworten muss (Wie heiß dein bester Schulfreund? Wie hies die Straße in der du als Kind gewohnt hast?). Diese Antworten sollte ein Unbekannter eigentlich nicht kennen und kann, so wie in dem Video gezeigt, auch das Passwort nicht zurücksetzen.


    Will man das Passwort via Apple ID Seite ändern, dann werden die Fragen gestellt. Klickt der Anwender aber "Passwort vergessen", dann werden diese Fragen imho nicht gestellt.

     iMac 27' Late 2012
     iPad Pro 12.9 Cellular 64GB
     iPhoneX 64 GB Spaegrau

    Wenn einem jemand aber das iPhone aus der Hand reisst benötige ich weder einen Fingerabdruck noch ein Passwort.


    Problem ist ja eigentlich dieses "Passwort zurücksetzen" Feature. Dass ein Dieb ein Passwort zurücksetzen kann sollte nicht möglich sein. WIE Apple erkennt ob nun wirklich der Nutzer das Passwort vergessen hat oder ein anderer vor dem PC sitzt, dafür würde mir jetzt auch keine Lösung einfallen. :confused:



    Einige schreiben jetzt: ControlCenter im LockScreen verbieten --> Problem gebannt. ABER: Dann wird einfach die SIM-Karte entfernt. Das ControlCenter zu verbieten bringt im Endeffekt also gar nichts.

    Re: iOS Sicherheitssysteme etwas löchrig


    Zitat

    Original geschrieben von MiaForster

    Nichtsdesto trotz sollte Apple den "Passwort vergessen"-Link nicht an die gleiche eMail Adresse wie die verknüpfte AppleID schicken. Wie man dann an ein vergessenes Passwort kommt sollte Apple dann überdenken. Aber doch nicht über die gleiche eMai Adresse. Das ist wie den Hausschlüssel unter den Fußabstreifer zu legen.

    Wo Du den Hausschlüssel deponierst ist doch aber nicht die Angelegenheit der Baufirma. ;)


    Die von dir geschilderten Szenarien haben letztendlich auch nicht wirklich etwas mit Apple oder iOS zu tun (die Problematik kann dich bei jedem Hersteller treffen), sondern eher damit, wie naiv viele Menschen an die Technik herangehen. Dein Beispiel mit dem Schlüssel finde ich schon ganz passend.

    Mit der Passwort vergessen Funktion bringt dir die Baufirma aber den passenden Schlüssel vorbei und fragt weder nach deinem Namen noch nach deinem Personalausweis.


    Vielleicht mache ich hier einen großen Denkfehler und ich habe das Video nicht verstanden. Problem ist doch primär nicht der Fingerabdruck sondern die Tatsache dass es so einfach ist Passwörter einfach zurückzusetzen.


    Und ja da hast du Recht, dass ist eigentlich weder ein Apple noch ein iOS Problem. Jeder Anbieter schickt dir das Passwort zu wenn du im Besitz eines funktierenden eMail Abrufes bist.


    Ganz ganz ehrlich habe ich mir da NIE Gedanken darüber gemacht. Ich habs Passwort vergessen, drauf gedrückt und mich GEFREUT darüber wie unkompliziert es ist wieder an ein neues Passwort zu kommen. Und darüber dass nur der Zugang zu meinem eMail Postfach ausreicht um meine ganze Identität im Internet zu übernehmen, darüber hab ich mir auch noch keine Gedanken gemacht. Einfach "Passwort vergessen" klicken - fertig.


    Eine Sicherheitsfrage die wirklich nur der wahre Eigentümer eines Accounts kennt sollte doch technisch wirklich absolut problemlos zu realisieren sein. Warum macht es fast keiner und das Passwort wird ohne Murren und Knurren zurückgesetzt wenn man auf den Link in der eMail klickt. :confused:

    Und der Fingerabdruck wird schlechter geredet als er wirklich ist.


    - auf dem Gerät ist nicht ein Fingerabdruck sondern viele
    - man müsste erstmal wissen welcher denn richtige ist
    - dieser muss dann noch komplett und nicht verschmiert vorliegen
    - dann muss das Gerät jemandem in die Hand fallen der die überhaupt die Ausrüstung, die Zeit, das Wissen und Interesse hat den Fingerabdruck von Gerät zu nehmen
    - sollten es dann doch jemand in 48 Stunden geschafft haben einen Fingerabdruck zu nehmen muss dieser beim dritten mal funktionieren sonst wird die Code Sperre aktiv


    Klar finde ich es gut dass der CCC Lücken aufweist um Nutzer zu sensibilisieren und sich nicht blindlings in Sicherheit wiegen.


    ABER: Glaubt ihr nicht dass die Wahrscheinlichkeit dass ein Meteroit in ein Dixie Kloo einschlägt als obiges Szenario?!

    Zitat

    Original geschrieben von MiaForster
    ABER: Glaubt ihr nicht dass die Wahrscheinlichkeit dass ein Meteroit in ein Dixie Kloo einschlägt als obiges Szenario?!


    Genau so ist das.
    Ein Taschendieb oder Gelegenheitsdieb hat nie im Leben auch nur den Hauch einer Ahnung, was er da tun muss.
    Von der ganzen Technik mal zu schweigen.
    Professionelle Organisationen wie z.B. Geheimdienste haben damit natürlich null Probleme und werden diese Aufgabe wahrscheinlich innerhalb kürzester Zeit in einem Lieferwagen realisieren können.


    Aber mal ganz ehrlich: bevor die so einen Aufwand betreiben, wissen sie schon Monate vorher, was sich auf meinem iPhone befindet, als ich :D
    Mein gesamtes Online-Leben incl. aller Accounts dito.

    Telekom Magenta Mobil XL Premium
    -  iPhone 7 128 GB diamant-schwarz
    -⌚️42mm Edelstahl mit schwarzem Sportarmband
    -  iPad Pro 9,7" 128 GB WiFi + Cellular
    -  iPhone SE 64 GB silber
    - AirPods

    Schoener Bug :top:


    Da sieht man's wieder mal, man kann sich noch soviel Muehe geben - wirklich sichere Systeme sind schwer zu entwickeln und sind ggf. unbequem.


    Ein paar Sicherheitshinweise (nicht nur fuer die iPhone-5S-Nutzer):
    - Benutze eine SIM-PIN (dann kann der Dieb nach dem Einschalten nicht einfach SMS empfangen)
    - Benutze einen Passcode der laenger als 4 Zeichen ist (dank Fingerabdrucksensor muss man ihn ja nicht mehr so oft eingeben)
    - Nutze 2-Faktor-Authentifizierung, z.B. bei Google Mail; in dem Fall muss man z.B. fuer die Mail-App ein eindeutiges Passwort generieren, das man bei Bedarf auch wieder fuer ungueltig erklaeren kann


    Es schadet nicht, sich ein wenig mit den Risiken des Geraeteverlusts zu beschaeftigen und sich zu ueberlegen, was man in diesem Fall tun muss, um Schlimmeres zu vermeiden. Oftmals stellt der Mailaccount den Schluessel zu weiteren Informationen dar.


    Auch kann ich nur jedem empfehlen, die Passwort-Reset-Funktion von sicherheitskritischen Diensten auch mal selbst auszuprobieren. Oftmals verbergen sich dort die groessten Schwachstellen (bildlich gesprochen: 3fach gesicherte Haustuer, aber das Kellerfenster steht offen).


    Apple macht es dem Nutzer hier leicht, indem man beim Passwort Reset entweder die Sicherheitsfragen beantworten muss, oder man laesst sich einen Reset-Link per Mail zuschicken. Letzteres nutzt der Angreifer hier. Apple gibt aber die Moeglichkeit, an dieser Stelle eine andere Mailadresse zu hinterlegen; die sollte man auch nutzen, und sie eben nicht auf dem Geraet abrufen.


    Was Apple nun noch tun kann (und vermutlich mit einem Update auch zeitnah fixen wird): Dass das Geraet nicht erst mal Mails abholt und erst dann bei Apple nachfragt, ob's denn vielleicht fuer eine Fernloeschung vorgesehen ist.

    100% ige Sicherheit wird es nie geben.
    Aber : Der Aufwand, den man Betreiben muß, stellt schon eine recht hohe Hürde dar.
    Und darauf kommt es doch an : Je höher der Aufwand, den ein Krimineller betreiben muß desto größer die Wahrscheinlichkeit, das sich der Dieb ein anderes Gerät ausguckt ...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden