iOS 17.3 – Das iPhone richtig absichern

Apple hat mit iOS 17.3. eine Sicherheits-Schwachstelle beseitigt, die zur kompletten Übernahme der AppleID durch Fremde führen konnte. Da haben wir schon eine Anleitung zur Absicherung geschrieben („Sicherheitshinweis“, hier zu finden.) Im Lichte des Updates haben wir unseren Beitrag überarbeitet und geben Ihnen im folgenden eine step-by-step Anleitung, wie Sie unter iiOS 17.3 das iPhone richtig absichern, ohne dass die einfache Bedienung darunter leidet.

Szenario:

Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht.
Das Telefon wird dem Opfer entwendet. Der Böse meldet sich mit der beobachteten oder gefilmten PIN sofort an, ruft die iCloud-Einstellungen auf und muss dazu die ausspionierte PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen!
Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels.
Anschließend werden alle im Account befindlichen Geräte gesperrt, damit der rechtmäßige User ausgeschlossen wird.
Danach erfolgt die „Ernte“.
Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN? Sicherheitshalber kann er in der Passwort-Datei von iOS nachsehen – die ist auch nur mit der Geräte-PIN gesichert.

Wie schützen Sie sich am besten gegen so einen Fall?

Wir haben unsere bisherige Empfehlung „Sicherheitshinweise“ mit den neuen Features unter iOS 17.3 erweitert und geben einen „Step-by-Step“ Anleitung, wie man sein digitales Leben sicher sichert…

🙄

################### Weiterlesen ###################

Guter Vorsatz in 2024 – Sicherheit auf dem Mac

Zum Jahresanfang klappen die üblichen Vorsätze („Mehr Sport“, „Abnehmen“, „nie wieder Alkohol“, „nett und ausgeglichen sein“) sowieso nicht. Da kann man sich gleich auf einen sinnvollen beschränken: Guter Vorsatz in 2024 – Sicherheit auf dem Mac.

Da könnte man jetzt ja den Weg des geringsten Widerstandes nehmen, installiert sich einen Virenschutz und lehnt sich dann entspannt zurück. Kann man machen, ist aber nicht die beste Lösung.

Erstens: Das ist wie mit dem Fahrradhelm: Angeblich sollen Menschen mit Fahrradhelm risikobereiter Fahrrad fahren als solche ohne Helm. Übertragen auf den Virenschutz: Wer einen installiert hat, neigt dazu, das Hirn ein wenig abzuschalten, was solche Bedrohungen angeht: „Ich klick mal auf diesen Anhang, ich hab ja einen Virenschutz!“

Was, zweitens, ein Grober Fehler® ist: Virenschutzprogamme sind immer nur für bekannte Bedrohungen aus der Vergangenheit erfolgreich. Neue Virusvarianten müssen dem Programm erst durch ein Update bekannt gemacht werden, und das kann dauern. Und leider bremsen die meisten Virenschutzprogramme den Rechner stark aus.

(mehr …)

Microsofts Sicherheitssupergau

Wir sind entweder inzwischen komplett abgestumpft oder es ist uns einfach sch…egal, was mit unseren Daten passiert. Das ist das Bild, was sich mir nach den letzten Ereignissen in Sachen Sicherheit bietet.

Was ist passiert?

Microsofts Sicherheitssupergau ist passiert. Microsoft hatte vor einiger Zeit stolz gemeldet, sie hätten die Angriffsversuche chinesischer Hacker auf ihre Infrastruktur abgewehrt. Die Gruppe „heise security“ hat sich das mal etwas genauer angesehen. Tatsache ist:

Irgend jemand hat Microsoft den elektronischen Hauptschlüssel für fast alles in der Cloud entwendet. Und Hauptschlüssel heißt hier „Hauptschlüssel“, und „fast alles“ heißt fast alles. Zugang zu allen Onlinediensten, Speichern, OneDrive, Teams, Outlook – alles Alles.

Reaktion von Microsoft zu diesem Thema? „Ruhig bleiben, wir haben alles im Griff!“

heise security sieht das etwas anders:

Microsoft hatte sich einen Master-Key klauen lassen, der den Angreifern wochenlang Zugriff auf fast alle Daten all ihrer Cloud-Kunden ermöglichte. Ein gestohlener Master-Key ist eigentlich schon der GAU für einen Cloud-Anbieter. Doch es war noch viel schlimmer: Der Schlüssel hätte gar nicht funktionieren dürfen; Microsofts Schloss war also auch noch kaputt. Das kommt einer Bankrotterklärung der hochgelobten Cloud-Security gleich.

Quelle: Jürgen Schmitt, heise Security.
(mehr …)