Apple hat mit iOS 17.3. eine Sicherheits-Schwachstelle beseitigt, die zur kompletten Übernahme der AppleID durch Fremde führen konnte. Da haben wir schon eine Anleitung zur Absicherung geschrieben („Sicherheitshinweis“, hier zu finden.) Im Lichte des Updates haben wir unseren Beitrag überarbeitet und geben Ihnen im folgenden eine step-by-step Anleitung, wie Sie unter iiOS 17.3 das iPhone richtig absichern, ohne dass die einfache Bedienung darunter leidet.
Szenario:
Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht.
Das Telefon wird dem Opfer entwendet. Der Böse meldet sich mit der beobachteten oder gefilmten PIN sofort an, ruft die iCloud-Einstellungen auf und muss dazu die ausspionierte PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen!
Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels.
Anschließend werden alle im Account befindlichen Geräte gesperrt, damit der rechtmäßige User ausgeschlossen wird.
Danach erfolgt die „Ernte“.
Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN? Sicherheitshalber kann er in der Passwort-Datei von iOS nachsehen – die ist auch nur mit der Geräte-PIN gesichert.
Wie schützen Sie sich am besten gegen so einen Fall?
Die PIN zum Anmelden am Gerät sollte sich von anderen PINs unterscheiden – und sie sollte 6-stellig sein. (Wie man das einstellt steht hier). Da der Angreifer ja keine Identifizierung mit FaceID oder TouchID machen kann, muss er für Programme, die geschützt sind, immer eine PIN oder ein Kennwort eingeben. Dann ist es schlecht, wenn diese PINs z.B. für die Banking-App oder das intelligente Türschloß zu Haus genau so sind wie die Anmelde-PIN. Also: ändern. Man kann ja gern für diverse Apps ein und dieselbe PIN haben, für die Anmeldung sollte sie 6-stellig und einzigartig sein, also nirgends anders auf dem iPhone genutzt.
Danach bauen Sie eine weitere Hürde ein:
Gehen Sie in die Einstellungen, „Bildschirmzeit“. Setzen Sie dort einen Code, der sich vom Anmeldecode unterscheidet.
Tippen Sie auf „Beschränkungen“, schieben Sie den Hauptschalter auf ein. Sie müssen jetzt die neue PIN eingeben.
Scrollen Sie nach unten bis auf „Codeänderungen“ und „Account-Änderungen“. Schalten Sie beide auf nicht erlauben.
Immer, wenn Sie jetzt Einstellungen an der AppleID oder am Code machen wollen, ist das ausgegraut. Sie müssen dann in die Bildschirmzeit, Beschränkungen ausschalten, PIN eingeben, Ihre gewünschten Änderungen machen, wieder in die Bildschirmzeit, Beschränkungen einschalten, PIN eingeben. Das kommt im normalen Leben so selten vor, dass es keinen Komfortverlust, aber einen großen Sicherheitsgewinn ausmacht.
Und nicht nervös werden: Das System braucht ein paar Sekunden, um das Ein-/Ausschalten der Beschränkungen in „Bildschirmzeit zu verarbeiten, ca. 5 Sekunden später ist die Änderung sichtbar.
WICHTIG: Der Punkt in den Einstellungen „Sicherheit & Face ID“ ist mit eingeschalteten Beschränkungen nicht mehr sichtbar! (Der Angreifer kann also nicht, wie irgendwo kolportiert, schnell ein „Alternatives Erscheinungsbild“ anlegen und dann mit FaceID sich anmelden.)
Was die Kennworte angeht, die iOS im Schlüsselbund sichert – die sind so einem Angreifer trotzdem verfügbar, dieser Zugriff ist auch nur mit der Geräte-PIN gesichert. Das ist jetzt mit 17.3 besser, siehe unten. Trotzdem war und ist unsere Empfehlung: Nutzen Sie eine andere Passwort-Verwaltung, zum Beispiel 1Password. Da können Sie ein anderes, komplizierteres Kennwort vergeben. Das wäre die dritte Verteidigungslinie: Keine Kennworte mehr im Schlüsselbund sichern, nur noch in Password.
Mehr Sicherheit mit iOS 17.3
Mit iOS 17.3 hat Apple jetzt nachgebessert. In den Einstellungen den Punkt „Sicherheit & Face ID“ aufrufen. Haben Sie unsere oben beschriebenen Tipps befolgt, müssen Sie natürlich diesen Punkt erst sichtbar machen über die „Bildschirmzeit“. Apple hat an zwei wichtigen Punkten nachgebessert:
- Der Zugriff auf den Schlüsselbund ist jetzt zwangsweise mit FaceID bzw. TouchID abgesichert, es gibt keinen Rückfall auf PIN-Eingabe mehr.
- In Safari gespeicherte Zahlungsmethoden verwenden (automatisch ausfüllen)
- Modus „Verloren“ deaktivieren
- Einstellungen und Inhalte löschen
- Neues Gerät mit deinem iPhone einrichten (z. B. Schnellstart)
Noch mehr Sicherheit
Bei einigen sicherheitsrelevanten Änderungen hat Apple das noch einmal verschärft, bei den folgenden Aktionen wird nach der ersten biometrischen Identifikation eine Wartezeit eingelegt zwischen einer und 4 Stunden. Dieser Zeitraum gibt dem Bestohlenen Zeit und Gelegenheit, einen anderen Rechner zu erreichen und das gestohlene Gerät als verloren zu markieren. Befindet sich das Gerät bei den folgenden Aktionen an einem vertrauten Ort (zu Haus oder Arbeit, z.B) oder wird dorthin gebracht, wird die Wartezeit nicht eingebaut.
- Passwort der Apple-ID ändern
- Von der Apple-ID abmelden
- Sicherheitseinstellungen des Apple-ID-Accounts ändern (z. B. ein vertrauenswürdiges Gerät, einen Wiederherstellungsschlüssel oder einen Wiederherstellungskontakt hinzufügen oder entfernen)
- Face ID oder Touch ID hinzufügen oder entfernen
- iPhone-Code ändern
- Alle Einstellungen zurücksetzen
- „Wo ist?“ deaktivieren
- Schutz für gestohlene Geräte deaktivieren
Das Ganze funktioniert im täglichen Leben erstaunlich reibungsfrei, weil die mit einem Zeitschloß gesicherten Aktionen eher nicht unterwegs gemacht werden.
Frisches Gesicht?
Wer mit FaceID oder TouchID öfter Probleme hat und erst beim zweiten oder dritten Mal erkannt wird, der sollte die Gelegenheit nutzen und das System „neu anlernen“.
Fazit:
Richtet man alle oben beschriebenen Dinge ein, dann hat man in der täglichen Benutzung kaum Beschränkungen, seine digitale Identität aber maximal abgesichert.
Fragen? Gern: 0421-3499913 oder apple@kunckeledv.de
