21. September 2017

Roman van Genabith

Macs gesperrt: Mein iPhone suchen wird von erpresserischen Hackern missbraucht

In den letzten Tagen wurden vermehrt Mac-Nutzer aus ihren Computern ausgesperrt und anschließend zur Zahlung eines „Lösegeldes“ aufgefordert. Hierzu bedienten sich die raffgierigen Hacker Apples Mein iPhone suchen-Funktion. Abhilfe schafft der Apple-Support.

Zuletzt kam es erneut verstärkt zu missbräuchlichen Anwendung von Apples Mein iPhone suchen-Funktion. Damit lassen sich neben iPhones auch Macs sperren. Weil es nach einem Geräteverlust möglichst schnell gehen sollte die verlorenen Geräte zu sperren, funktioniert dieses Feature auch bei aktivierter Zwei-Faktor-Authentifizierung lediglich mit iCloud-Nutzernamen und Passwort.

Find my iPhone
Find my iPhone

Befinden sich diese Anmeldedaten in den Händen von Hackern, können sie damit die Geräte der Anwender sperren. In den letzten Tagen ist genau das zahlreichen Mac-Besitzern passiert. Anschließend wurden sie mit Geldforderungen der erpresserischen Hacker konfrontiert. Wie immer gilt: Keinesfalls zahlen, Apple fragen. Der Support kann hier helfen.

Die Logindaten wurden nicht aus Apples Servern gestohlen, sondern sind im Verlauf diverser anderer Passwort-Hacks in den Besitz der Erpresser gelangt. Warum konnten sie damit Apple-IDs kompromittieren? Weil noch immer viel zu viele Nutzer die selben Passwörter bei vielen verschiedenen Diensten verwenden. Das schwächste Glied der Kette kann hier zu unangenehmen Folgen für die Nutzer führen.

Weitere Artikel

Auslieferung steht bevor: Erste Versandbestätigungen des iPhone 8 trudeln ein

Klein, aber fein: Ein paar nützliche Neuerungen in iOS 11 im Überblick

10 Gedanken zu „Macs gesperrt: Mein iPhone suchen wird von erpresserischen Hackern missbraucht“

  5. Nun, es gab schon zahlreiche Diskussionen darüber wie man Passwörter auf der Endnutzer-Seite verhindern könnte. Dazu gibt es aktuell eine gängige Lösung mit HSMs, auf die ich gerne eingehen würde. Man könnte die Sicherung von iCloud-Accounts ja über die Art sichern, dass jeder iCloud-Benutzer ein kostenloses HSM (Hardware Security Module) erhält, welches der Nutzer dann zum einloggen über Nicht-Apple-Geräte verwenden kann, an sonsten könnte man den Log-In-Prozess über HSMs (in Form der Secure Enclave) in iGeräten durchführen sodass die Nutzung eines Passwortes entfällt. Was sich da jedoch problematisch herausstellt ist, in welcher Form dann jedes HSA miteinander synchronisiert wird und wie Apple bei Bereitstellung des HSA garantieren kann, dass auf dem Weg der Herstellung oder der Lieferung das HSA nicht auf eine Art modifiziert wurde, die es einem Angreifer ermöglichen würde, an die Nutzerdaten zu kommen. Problematisch darüber hinaus ist noch, dass durch HSAs apple zwingend ein Geheimnis auf eigener Seite bewahren muss, was gegen die eigene Firmenphilosophie geht, und zwar dass Passwörter und Schlüssel zu Nutzerdaten möglichst nicht bei Apple gespeichert sind sodass Autoritäten beliebiger Stärke (Hacker oder Regierung) an die Daten kommen. Da eben diese HSM jedoch Ressourcen verbrauchen, hergestellt werden müssten und sowieso wegen oben beschriebenen Umstand für Apple nicht brauchbar sind, bleibt es wohl die Pflicht des Nutzers, ein sicheres Passwort zu wählen. Nein, Biometrie ist kein endgültiges Passwort, da Apple selbst einsieht, dass Biometrie ebenfalls missbraucht werden kann sodass biometrische Daten extrem sicher und mathematisch nicht rückführbar gespeichert werden (one-way function), und vor allem deshalb da immer noch das Passwort des Nutzers erforderlich ist um das Gerät nach mehreren fehlschlagenen Versuchen zu entsperren. Das Fazit besteht weiterhin; Ein sicheres Passwort ist (aktuell) unumgänglich. Wahrscheinlich macht es nicht mal Sinn das hier erneut zu formulieren, da die meisten diese wichtige Pflicht in Verbindung mit Nutzung von Internetdiensten nicht wahrnehmen (können / möchten).
    • Selbstverständlich gilt obiges ebenfalls für Wiederverwendung von Passwörtern, es ist jedenfalls ‚best practice‘, einen sicheren Passwort-Manager wie iCloud-Schlüsselbund zu verwenden.

Die Kommentare sind geschlossen.