Mit Schlupfloch: Neuer iPhone-Diebstahlschutz lässt sich aushebeln

Der neue Diebstahlschutz am iPhone hat eine Schwachstelle, die es einem potenziellen Dieb leichter als nötig macht, sich der digitalen Identität eines iPhone-Nutzers zu bemächtigen. Die Stolen Device Protection ist noch in der Beta, es ist also möglich, dass das Defizit noch beseitigt wird.

Wer den Passcode eines iPhones kennt, kann nicht nur das Gerät für sich nutzbar machen, sondern auch die Apple-ID mit allen möglicherweise damit verknüpften Diensten und Abos ebenfalls an sich bringen. Genau das soll in letzter Zeit vermehrt Diebe getan haben, nachdem sie den Passcode unvorsichtiger Nutzer ausgespäht haben. Dagegen soll ein neues Sicherheitsfeature helfen, die Stolen Device Protection. Sie ist in iOS 17.3 enthalten, das aktuell in der Beta vorliegt.

Die neue, optional nutzbare Sicherheitsstufe ist komplex und verspricht tatsächlich eine extreme Sicherheit vor digitalem Identitätsbetrug, hier haben wir sie erklärt. Doch dieser hohe Schutz ist aktuell noch anfällig.

Schutzstufe wirkt in der eigenen Wohnung oft nicht

So ist es etwa bei aktivierter Stolen Device Protection nicht mehr möglich, das Passwort der Apple-ID und andere Einstellungen nur mit dem iPhone-Code zu ändern. Um das tun zu können, ist zudem die Verifizierung per Touch ID oder Face ID nötig, mit einer Ausnahme: An sogenannten „wichtigen Orten“ reicht der iPhone-Passcode dann doch noch, um etwa das Apple-ID-Passwort zu ändern. Auch die einstündige Verzögerung kritischer Änderungen von Sicherheitseinstellungen ist dann nicht aktiv.

Diese wichtigen Orte identifiziert iOS automatisch, die eigene Adresse gehört oft dazu, das Büro oder andere Orte, an denen der Nutzer oft ist, ebenfalls. Wenn der Angreifer einen dieser Orte kennt, etwa die Adresse des Opfers, lässt sich der neue Schutz aushebeln.

Bislang ist dieses Verhalten in der Beta beobachtet worden, Apple könnte hieran noch drehen.