Macs gesperrt: Mein iPhone suchen wird von erpresserischen Hackern missbraucht

In den letzten Tagen wurden vermehrt Mac-Nutzer aus ihren Computern ausgesperrt und anschließend zur Zahlung eines „Lösegeldes“ aufgefordert. Hierzu bedienten sich die raffgierigen Hacker Apples Mein iPhone suchen-Funktion. Abhilfe schafft der Apple-Support.

Zuletzt kam es erneut verstärkt zu missbräuchlichen Anwendung von Apples Mein iPhone suchen-Funktion. Damit lassen sich neben iPhones auch Macs sperren. Weil es nach einem Geräteverlust möglichst schnell gehen sollte die verlorenen Geräte zu sperren, funktioniert dieses Feature auch bei aktivierter Zwei-Faktor-Authentifizierung lediglich mit iCloud-Nutzernamen und Passwort.

Find my iPhone

Find my iPhone

Befinden sich diese Anmeldedaten in den Händen von Hackern, können sie damit die Geräte der Anwender sperren. In den letzten Tagen ist genau das zahlreichen Mac-Besitzern passiert. Anschließend wurden sie mit Geldforderungen der erpresserischen Hacker konfrontiert. Wie immer gilt: Keinesfalls zahlen, Apple fragen. Der Support kann hier helfen.

Die Logindaten wurden nicht aus Apples Servern gestohlen, sondern sind im Verlauf diverser anderer Passwort-Hacks in den Besitz der Erpresser gelangt. Warum konnten sie damit Apple-IDs kompromittieren? Weil noch immer viel zu viele Nutzer die selben Passwörter bei vielen verschiedenen Diensten verwenden. Das schwächste Glied der Kette kann hier zu unangenehmen Folgen für die Nutzer führen.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Roman van Genabith
twitter Google app.net mail
Roman van Genabith

10 Kommentare zu dem Artikel "Macs gesperrt: Mein iPhone suchen wird von erpresserischen Hackern missbraucht"

  1. der Alte 21. September 2017 um 15:40 Uhr · Antworten
    Auch wenn es mit Aufwand verbunden ist. Für jeden Account gilt: Anderer Nutzer, zumindest anderes Passwort.
    iLike 3
  2. Ohne Punkt und Komma 21. September 2017 um 15:42 Uhr · Antworten
    Tja dumm
    iLike 0
  3. Peter 21. September 2017 um 19:30 Uhr · Antworten
    Mein Passwort finde die nie heraus, viel zu lange. Und das existiert nur ein Mal und zwar für meinen Account bei Apple.
    iLike 1
    • Sven 21. September 2017 um 20:00 Uhr · Antworten
      Mein Gott – was für ein Deutsch…
      iLike 2
      • Peter 21. September 2017 um 20:27 Uhr ·
        Gott? Geh mal zurück, wo du herkommst!
        iLike 1
      • Grafvonkatania 27. September 2017 um 19:13 Uhr ·
        Kommen der ,,Herr“ aus ,,Vulgarien“ ? Ich frage nur wegen ihres Cousinhaften Tones?
        iLike 0
      • bruderlustig 21. September 2017 um 20:37 Uhr ·
        Vielleicht ist genau das das Passwort? ;)
        iLike 1
  4. Peter 21. September 2017 um 21:09 Uhr · Antworten
    Das Passwort ist: LMAA 🤣
    iLike 0
  5. moeKonpyuta 22. September 2017 um 19:43 Uhr · Antworten
    Nun, es gab schon zahlreiche Diskussionen darüber wie man Passwörter auf der Endnutzer-Seite verhindern könnte. Dazu gibt es aktuell eine gängige Lösung mit HSMs, auf die ich gerne eingehen würde. Man könnte die Sicherung von iCloud-Accounts ja über die Art sichern, dass jeder iCloud-Benutzer ein kostenloses HSM (Hardware Security Module) erhält, welches der Nutzer dann zum einloggen über Nicht-Apple-Geräte verwenden kann, an sonsten könnte man den Log-In-Prozess über HSMs (in Form der Secure Enclave) in iGeräten durchführen sodass die Nutzung eines Passwortes entfällt. Was sich da jedoch problematisch herausstellt ist, in welcher Form dann jedes HSA miteinander synchronisiert wird und wie Apple bei Bereitstellung des HSA garantieren kann, dass auf dem Weg der Herstellung oder der Lieferung das HSA nicht auf eine Art modifiziert wurde, die es einem Angreifer ermöglichen würde, an die Nutzerdaten zu kommen. Problematisch darüber hinaus ist noch, dass durch HSAs apple zwingend ein Geheimnis auf eigener Seite bewahren muss, was gegen die eigene Firmenphilosophie geht, und zwar dass Passwörter und Schlüssel zu Nutzerdaten möglichst nicht bei Apple gespeichert sind sodass Autoritäten beliebiger Stärke (Hacker oder Regierung) an die Daten kommen. Da eben diese HSM jedoch Ressourcen verbrauchen, hergestellt werden müssten und sowieso wegen oben beschriebenen Umstand für Apple nicht brauchbar sind, bleibt es wohl die Pflicht des Nutzers, ein sicheres Passwort zu wählen. Nein, Biometrie ist kein endgültiges Passwort, da Apple selbst einsieht, dass Biometrie ebenfalls missbraucht werden kann sodass biometrische Daten extrem sicher und mathematisch nicht rückführbar gespeichert werden (one-way function), und vor allem deshalb da immer noch das Passwort des Nutzers erforderlich ist um das Gerät nach mehreren fehlschlagenen Versuchen zu entsperren. Das Fazit besteht weiterhin; Ein sicheres Passwort ist (aktuell) unumgänglich. Wahrscheinlich macht es nicht mal Sinn das hier erneut zu formulieren, da die meisten diese wichtige Pflicht in Verbindung mit Nutzung von Internetdiensten nicht wahrnehmen (können / möchten).
    iLike 0
    • moeKonpyuta 22. September 2017 um 19:46 Uhr · Antworten
      Selbstverständlich gilt obiges ebenfalls für Wiederverwendung von Passwörtern, es ist jedenfalls ‘best practice’, einen sicheren Passwort-Manager wie iCloud-Schlüsselbund zu verwenden.
      iLike 0