ComputerBase Menü
Aktuelles

Account-Diebstahl einfach durch PIN möglich

Acrylium

Acrylium

Rear Admiral
Registriert
Apr. 2001
Beiträge
6.082
Kriminelle machen sich einen Desingfehler in der Sicherheitsarchitektur bei Apple zu nutze, der so simpel wie erschreckend ist: Man beobachtet oder filmt das Opfer und/oder bringt es dazu, seine iPhone-PIN einzutippen, bis man diese gesehen hat bzw. kennt. Dann stiehlt man das iPhone.

Darüber berichtete zuletzt das Wall Street Journal und heise.

Mit der Kombination aus iPhone und PIN ist es ganz einfach möglich, das Passwort der Apple-ID zu ändern. Dazu benötigt man tatsächlich lediglich die PIN und das iPhone. Dann erstellen die Kriminellen sich also ein eigenes Passwort zu der AppleID des Opfers. Bei aktiver 2-Faktor-Autentifizierung bekommen die den nötigen Code dafür sogar direkt auf das iPhone welche sie in Händen halten zugeschickt. Falls ein anderes vertrauenswürdiges Gerät eingespeichert ist, können sie mittels lediglich der PIN dieses löschen oder ändern.

Mit dem nun vorhandenen neuen AppleID-Passwort geht es dann weiter: Es wird ein Recovery-Key erstellt – oder falls es schon einen gibt, wird ein neuer erstellt. Dies stellt sicher, dass der Apple-Support dem Opfer nicht mehr helfen kann, weil bei aktiviertem Recovery-Key keine Accountwiderherstellung per E-Mail oder ähnliches möglich ist. Dazu wird dann zwingend der Recovery-Key gebraucht, den allerdings der Kriminelle hat. Eventuell vorhandene Sicherheits-Dongles, die seit iOS 16.3 unterstützt werden, können mittels AppleID-Passwort und PIN einfach aus dem Account zuvor entfernt werden, so dass auch diese keinen Schutz bieten. Im Anschluss werden andere dem Apple-Account zugeordnete Geräte gesperrt und auch die „Wo ist“-Funktion abgeschaltet. Somit kann das gestohlene iPhone nicht mehr gefunden oder aus der Ferne vom rechtmäßigen Besitzer gesperrt oder gelöscht werden.

Damit sperren die Kriminellen ihr Opfer faktisch vollständig und unwiderruflich aus dessen Apple-Account aus. Apple kann da nicht mehr helfen.

Bevor das gestohlene iPhone abschließend gewinnbringend verkauft wird, wird noch munter über Apple Pay eingekauft oder der Vollzugriff genutzt, um sich bei eventuellen Bezahl-Apps wie PayPal zu bedienen. Falls das Opfer die Passwörter zu einer eventuell genutzten Banking-App im iOS-Schlüsselbund aufbewahrt haben, kann über diesen Weg Zugriff auf das Bankkonto genommen und schlimmstenfalls auch auf Authentifizierungs-Apps für Bank-Transaktionen genommen werden. Somit könnten Überweisungen bis zum Bank-Limit getätigt werden.

In den USA scheint es sogar möglich zu sein, bei Apple Pay neue Kreditkarten auf den Namen des Opfers mit der PIN zu hinterlegen und dann damit einzukaufen. Ich bin nicht sicher, ob das in Deutschland möglich ist.

Falls noch eine Authentificator-App auf dem iPhone gespeichert und nur per PIN oder im Schlüsselbund gespeichertem Passwort erreichbar ist, wird’s ganz düster. Denn dann können potenziell auch alle Nicht-Apple-Accounts übernommen werden.

Das gesamte Sicherheitskonzept basiert also einzig darauf, dass ein Dieb niemals Zugriff auf die Hardware in Form des iPhones und gleichzeitig dessen PIN erhält. Es gibt keine Sicherheitsbarriere, sobald erstmal PIN und iPhone im Besitz eines Kriminellen sind, die diesen stoppen könnten, den Account komplett und unwiderruflich zu übernehmen.

Apple selbst sagt, dass solche Fälle außerordentlich selten seien. Man würde mit den Opfern fühlen. Etwas ändern wolle man aber nicht, da dies die allermeisten User stark einschränken würde. Laut dem Wall Street Journal steigt die Anzahl solcher Fälle aber rapide.

Jetzt stellt sich für uns User die Frage: Was tun, um sich gegen solch ein Szenario möglichst gut zu schützen? Mir fällt dazu nur ein, anstelle der 4- oder 6-stelligen PIN, eine alphanumerische PIN zu setzen und zu verwenden. Man braucht die in Zeiten von FaceID ja eh nur selten eintippen, da darf es also auch mal länger sein. Dann fällt es Beobachtern schwer, diese durch reines Beobachten zu erfassen. Wäre aber auch nicht unmöglich, und das hilft überhaupt nicht, falls man bei der PIN-Eingabe zuvor gefilmt wird.

Klar könnte man komplett auf Banking- und Bezahl-Apps usw. verzichten. Das wäre als Lösung aber schon sehr radikal und schränkt die Nutzung des Smartphones ja dann auch deutlich ein. Und der Verlust eines kompletten Accounts mit allen Backups, Zugängen, Nachrichten, E-Mails, Fotos, etc. wiegt auch schwer und ist für viele nicht zu ersetzen.

Wie kann man in der aktuellen Situation nun effektiv seinen Account für den Fall schützen, dass einem das iPhone inkl. PIN gestohlen werden sollte? Meint ihr, Apple überarbeitet dazu nochmal sein Sicherheitskonzept?
 
Zuletzt bearbeitet: (Typo korrigiert)
Klingt für mich nach einem sehr wilden Szenario. Großes Fass um Nichts...
Weil Apple = Schlagzeile

Geht doch bei Android genauso...kannst dann ja auch überall noch einkaufen und co.
Bis das Opfer das Handy gesperrt bekommt unter Android, dauert das ja auch eine Weile oder nie.

Was hilft dagegen? Einfach vorsichtig sein und wie bei EC Automaten seit 30 Jahren niemanden auf seine Passwörter/PINs schauen lassen.
 
  • Gefällt mir
Reaktionen: tidus1979, Gizzmow und aw48
Ganz einfach, sei vorsichtig und gib niemandem deine PIN.
Warum sollte Apple da was machen. Ich gebe meine PIN nie so ein das man sie filmen könnte und würde grundsätzlich niemandem die PIN oder sonst was geben. Wer ist bitte so dumm und lässt sich von nem Fremden dazu bequatschen ihm seine PIN zu geben. Wer das macht ist selber Schuld.
 
Face ID oder Touch ID und gut ist. 🤔

Auch Bankautomaten kann man leicht ans Geld kommen, wie zb. manipulierte Kartenleser oder PIN-Tastatur, da hilft abdecken mit PIN nicht mehr. 🤷🏻‍♀️
 
  • Gefällt mir
Reaktionen: Gizzmow
Pins auszuspähen kennt man ja schon seit Jahrzehnten von EC-Karten und eine Banking-App die ausschließlich über EIN Passwort läuft ist einfach nur Schrott.

Wer sein Smartphone tatsächlich nur mit der 4-stelligen Pin sichert, handelt in meinen Augen äußerst fahrlässig.

Also wo ist die Neuigkeit in deinem Wall of Text.
 
Wenns danach ginge hätte man auch ein Problem wenn einem die EC Karte geklaut wird und die PIN dazu. Wobei man bei ner EC Karte häufig unter 50 Euro ohne Pin bezahlen kann.
Damit man die PIN vom iPhone mitlesen kann muss das Gesindel schon sehr nach an einem kommen.
Ich sehe da nicht so ne Gefahr, auch haben sehr viele iPhones mitlerweile FaceID.

@Khalinor
Zumindest beim iPhone ist es schon ne ganze Weile so das der PIN 6-Stellig ist.
 
Wenn jemand deinen PIN hat und dein Smartphone, hast du bei jedem Gerät verloren.
 
  • Gefällt mir
Reaktionen: eraser4400, Gizzmow, Fujiyama und eine weitere Person
Mit dem kommenden iOS 17.3 Update adressiert Apple dieses Problem nun und bietet optional, also freiwillig, die Möglichkeit, bestimmte Funktionen wie z.B. das Ändern des eigenen iCloud-Passworts nicht mehr mit PIN zuzulassen. Man wird also einstellen können, dass dafür zwingend eine biometrische Freigabe erforderlich ist.

Vorausgesetzt die Option ist dann aktiviert, sollten Kriminelle die eine PIN ausgespäht haben und das iPhone gestohlen haben, nun keine Möglichkeit mehr haben, den iCloud-Account vollständig zu übernehmen, da Ihnen die Änderung des iCloud-Passworts mit der PIN verwehrt bleibt.
 
Acrylium schrieb:
Kriminelle machen sich einen Desingfehler in der Sicherheitsarchitektur bei Apple zu nutze, der so simpel wie erschreckend ist: Man beobachtet oder filmt das Opfer und/oder bringt es dazu, seine iPhone-PIN einzutippen, bis man diese gesehen hat bzw. kennt. Dann stiehlt man das iPhone.

Darüber berichtete zuletzt das Wall Street Journal und heise.

Mit der Kombination aus iPhone und PIN ist es ganz einfach möglich, das Passwort der Apple-ID zu ändern. Dazu benötigt man tatsächlich lediglich die PIN und das iPhone. Dann erstellen die Kriminellen sich also ein eigenes Passwort zu der AppleID des Opfers. Bei aktiver 2-Faktor-Autentifizierung bekommen die den nötigen Code dafür sogar direkt auf das iPhone welche sie in Händen halten zugeschickt. Falls ein anderes vertrauenswürdiges Gerät eingespeichert ist, können sie mittels lediglich der PIN dieses löschen oder ändern.

Mit dem nun vorhandenen neuen AppleID-Passwort geht es dann weiter: Es wird ein Recovery-Key erstellt – oder falls es schon einen gibt, wird ein neuer erstellt. Dies stellt sicher, dass der Apple-Support dem Opfer nicht mehr helfen kann, weil bei aktiviertem Recovery-Key keine Accountwiderherstellung per E-Mail oder ähnliches möglich ist. Dazu wird dann zwingend der Recovery-Key gebraucht, den allerdings der Kriminelle hat. Eventuell vorhandene Sicherheits-Dongles, die seit iOS 16.3 unterstützt werden, können mittels AppleID-Passwort und PIN einfach aus dem Account zuvor entfernt werden, so dass auch diese keinen Schutz bieten. Im Anschluss werden andere dem Apple-Account zugeordnete Geräte gesperrt und auch die „Wo ist“-Funktion abgeschaltet. Somit kann das gestohlene iPhone nicht mehr gefunden oder aus der Ferne vom rechtmäßigen Besitzer gesperrt oder gelöscht werden.

Damit sperren die Kriminellen ihr Opfer faktisch vollständig und unwiderruflich aus dessen Apple-Account aus. Apple kann da nicht mehr helfen.

Bevor das gestohlene iPhone abschließend gewinnbringend verkauft wird, wird noch munter über Apple Pay eingekauft oder der Vollzugriff genutzt, um sich bei eventuellen Bezahl-Apps wie PayPal zu bedienen. Falls das Opfer die Passwörter zu einer eventuell genutzten Banking-App im iOS-Schlüsselbund aufbewahrt haben, kann über diesen Weg Zugriff auf das Bankkonto genommen und schlimmstenfalls auch auf Authentifizierungs-Apps für Bank-Transaktionen genommen werden. Somit könnten Überweisungen bis zum Bank-Limit getätigt werden.

In den USA scheint es sogar möglich zu sein, bei Apple Pay neue Kreditkarten auf den Namen des Opfers mit der PIN zu hinterlegen und dann damit einzukaufen. Ich bin nicht sicher, ob das in Deutschland möglich ist.

Falls noch eine Authentificator-App auf dem iPhone gespeichert und nur per PIN oder im Schlüsselbund gespeichertem Passwort erreichbar ist, wird’s ganz düster. Denn dann können potenziell auch alle Nicht-Apple-Accounts übernommen werden.

Das gesamte Sicherheitskonzept basiert also einzig darauf, dass ein Dieb niemals Zugriff auf die Hardware in Form des iPhones und gleichzeitig dessen PIN erhält. Es gibt keine Sicherheitsbarriere, sobald erstmal PIN und iPhone im Besitz eines Kriminellen sind, die diesen stoppen könnten, den Account komplett und unwiderruflich zu übernehmen.

Apple selbst sagt, dass solche Fälle außerordentlich selten seien. Man würde mit den Opfern fühlen. Etwas ändern wolle man aber nicht, da dies die allermeisten User stark einschränken würde. Laut dem Wall Street Journal steigt die Anzahl solcher Fälle aber rapide.

Jetzt stellt sich für uns User die Frage: Was tun, um sich gegen solch ein Szenario möglichst gut zu schützen? Mir fällt dazu nur ein, anstelle der 4- oder 6-stelligen PIN, eine alphanumerische PIN zu setzen und zu verwenden. Man braucht die in Zeiten von FaceID ja eh nur selten eintippen, da darf es also auch mal länger sein. Dann fällt es Beobachtern schwer, diese durch reines Beobachten zu erfassen. Wäre aber auch nicht unmöglich, und das hilft überhaupt nicht, falls man bei der PIN-Eingabe zuvor gefilmt wird.

Klar könnte man komplett auf Banking- und Bezahl-Apps usw. verzichten. Das wäre als Lösung aber schon sehr radikal und schränkt die Nutzung des Smartphones ja dann auch deutlich ein. Und der Verlust eines kompletten Accounts mit allen Backups, Zugängen, Nachrichten, E-Mails, Fotos, etc. wiegt auch schwer und ist für viele nicht zu ersetzen.

Wie kann man in der aktuellen Situation nun effektiv seinen Account für den Fall schützen, dass einem das iPhone inkl. PIN gestohlen werden sollte? Meint ihr, Apple überarbeitet dazu nochmal sein Sicherheitskonzept?
Zum Vergrößern anklicken....
So rein aus Interesse, wie funktioniert das eigentlich bei Android, haben die ein anderes Sicherheits-“Design” ?
 
Keine Antwort ? Heißt dann wohl Android bietet also nichts sicheres und nur Apple nimmt sich mit iOS 17.3 des Problems an.
 
Ich kenne mich mit Android schon länger nicht mehr aus, nehme aber tatsächlich auch an, dass es dort keine solchen Sicherheitskonzepte oder Überlegungen dazu gibt. Allerdings hängt glaube ich an einem Google-Account (mit dem ein Android gekoppelt ist) auch nicht soviel wie potentiell an einem Apple-Account hängen kann, oder?
 
Acrylium schrieb:
potentiell an einem Apple-Account hängen kann, oder?
Zum Vergrößern anklicken....
Wie kommst Du zu der Ansicht? Hier kann im Prinzip exakt das selbe dranhängen wie an der AppleID.
 
  • Gefällt mir
Reaktionen: run_for_fun
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DennisK.
News Möglicher DMA-Verstoß: EU untersucht Sperre von Epic Games seitens Apple
8 9 10
Antworten
185
Aufrufe
7.774
=rand(42)
R
DennisK.
News iOS 17.3 veröffentlicht: Neuer Diebstahlschutz kann nur mit Biometrie umgangen werden
10 11 12
Antworten
234
Aufrufe
21.350
Incanus
Incanus
Q
iPhone: Apple-ID nachträglich geändert - wie rückgängig zu machen?
Antworten
10
Aufrufe
1.409
chrigu
chrigu
W
Kinderaccount/ Familienfreigabe
Antworten
9
Aufrufe
650
wahli
wahli
M
Frage zu Whatsapp auf iOS.
Antworten
9
Aufrufe
866
panik
P

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz