Sicherheitshinweis…

„Bitte lassen Sie Ihr iPhone nicht unbeaufsichtigt…“. Ständige Durchsage am Flughafen, gilt aber tatsächlich auch für das iPhone. In den letzten Tagen gab es etwas Aufregung um die Sicherheit beim iPhone.

Es gibt tatsächlich eine Design-Schwachstelle, die es erlaubt, das Kennwort zur Apple-ID zu ändern, ohne das alte Kennwort zu kennen.

Szenario:

Notwendig dazu: Die Kenntnis der Geräte-PIN und Zugriff auf das Gerät. Der Ablauf ist dann wie folgt:

  • Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht.
  • Das Telefon wird dem Opfer entwendet
  • Der Böse meldet sich sofort an, ruft die iCloud-Einstellungen auf und muss dazu die PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen!
  • Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels.
  • Anschließend werden alle im Account befindlichen Geräte gesperrt.
  • Danach erfolgt die „Ernte“. Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN?

Abhilfe

  • Die PIN zum Anmelden am Gerät sollte sich von anderen PINs unterscheiden. Da der Angreifer ja keine Identifizierung mit FaceID oder TouchID machen kann, muss er für Programme, die geschützt sind, immer eine PIN eingeben. Dann ist es schlecht, wenn diese PINs z.B. für die Banking-App oder das intelligente Türschloß zu Haus genau so sind wie die Anmelde-PIN. Also: ändern. Man kann ja gern für diverse Apps eine PIN haben, für die Anmeldung sollte sie 6-stellig und einzigartig sein, also nirgends anders auf dem iPhone genutzt.
  • Gehen Sie in die Einstellungen, dort „Bildschirmzeit“. Setzen Sie dort einen Code, der sich vom Anmeldecode unterscheidet.
  • Tippen Sie auf „Beschränkungen“, schieben Sie den Hauptschalter auf ein. Sie müssen jetzt die neue PIN eingeben.
  • Scrollen Sie nach unten bis auf „Codeänderungen“ und „Account-Änderungen“. Schalten Sie beide auf nicht erlauben.

Das wars. Immer, wenn Sie jetzt Einstellungen an der AppleID oder am Code machen wollen, ist das ausgegraut. Sie müssen dann in die Bildschirmzeit, Beschränkungen ausschalten, PIN eingeben, Ihre gewünschten Änderungen machen, wieder in die Bildschirmzeit, Beschränkungen einschalten, PIN eingeben.

NACHTRAG: Der Punkt in den Einstellungen „Sicherheit & Face ID“ ist mit eingeschalteten Beschränkungen nicht sichtbar! (Der Angreifer kann also nicht, wie irgendwo kolportiert, schnell eine „Alternatives Erscheinungsbild“ anlegen und dann mit FaceID sich anmelden.)

Der Personalausweis wird ePerso

Bei meiner Bank bestelle ich eine Kreditkarte, im Laufe des Vorganges stellt sich heraus, dass mein hinterlegter Personalausweis abgelaufen ist. Kein Problem, man kann sich per Videolegitimation legitimieren. Beim Aufruf des Links werden zwei Verfahren angeboten, einmal „normale“ Videolegitimation und einmal über den ePerso. Für erstes braucht man einen vernünftigen Hintergrund und sollte einigermaßen präsentabel sein, für letzteres braucht man nur die PIN des Ausweises.

Ich lade die dazu benötigte App herunter, suche die damals vergeben PIN heraus – dank Passwortverwaltungsprogramm auch einfach gemacht – und halte den Personalausweis bereit.

Beim Start des Authentifizierungsprogrammes wird eine TAN angezeigt, die auf der Webseite einzugeben ist und die wohl in den weiteren Prozess „eingebacken“ wird, um die Identifikation der Verbindung sicherzustellen. Dann wird die PIN des Ausweises abgefragt und es kommt die Aufforderung, den Ausweis direkt an das Telefon zu halten. „Der Leseprozess wird gestartet“, danach muss man Vorder- und Rückseite des Ausweises fotografieren.

Es wird etwas gerechnet und nachgedacht, und dann kommt eine Ziffernfolge, die auf der wartenden Webseite einzugeben ist.

Dauer: 2 Minuten.

Die Frage, die ich mir nur stelle: In den Jahren, in denen ich den neuen Ausweis schon habe und in denen ich diverse Male mit Ämtern und Behörden zu tun hatte und mich mühevoll legitimieren musste – warum ist das jetzt das erste Mal, dass es so schick und einfach geht? Ist das der Digitalisierungsstau, von dem immer alle reden?

Neues macOS im Juni…

In der Regel kündigt Apple ja auf der Entwicklerkonferenz im Juni regelmäßig neue Versionen. der diversen Betriebssysteme an. Und wenn Apple so weiter macht wie bisher, also das System immer mehr abschottet, keine fremden Bestandteile mehr erlaubt, also alles, um es sicherer aber auch unbequemer zu machen: Da hätte ich dann einen Namensvorschlag. Die letzten Namen waren ja immer kalifornische Landmarken, Orte und Gebiete, deswegen mein nicht ganz ernst gemeinter Vorschlag:

„macOS Alcatraz“

Fritzbox-Besitzer: Sichere DNS Abfragen…

Ein ganz wesentlicher Bestandteil des Internets ist der Domain Name Service, kurz als DNS bezeichnet. DNS ist quasi die Telefonauskunft des Internets. Möchten Sie die neuesten Nachrichten über den Rücktritt von Herrn Kurz auf spiegel.de lesen, dann tippen Sie in Ihrem Browser www.spiegel.de ein. Ihr Browser geht mit dieser Information zu einem sogenannten DNS-Resolver und fragt den: „sag mal, wo finde ich denn im Moment den spiegel.de?“. Der DNS-Resolver würde dann zum jetzigen Zeitpunkt mit der IP-Adresse 128.65.210.8 antworten. Diese Adresse steuert der Browser dann an.

Die Antwort des DNS-Resolvers kann aber auch lapidar lauten „keine Ahnung“. Dann haben Sie sich entweder bei der Eingabe des Namens vertippt oder die Adresse kann im Moment nicht gefunden werde – siehe Facebook, Instagram, WhatsApp letzte Woche.

Das DNS-System datiert aus den Anfängen des Internets, und Datenschutz war da nicht so das Ding, heißt: Alle Abfragen gehen unverschlüsselt durch das Netz. „Der Anwender XYZ möchte spiegel.de besuchen“.

Benutzer der Fritzbox mit aktuellem Betriebssystem (zum Zeitpunkt des Artikels ist das 7.28) können das für alle Rechner im Heimnetz sicherer machen. Es gibt DNS-Resolver, die verschlüsselte Anfragen annehmen und bearbeiten. Die Fritzbox verschlüsselt dann die DNS-Anfragen, und der DNS-Server antwortet ebenfalls verschlüsselt. Kein Mensch kann ab sofort die Kommunikation mitlesen.

Um das in der Fritzbox einzurichten, brauchen wir die Auflösungsnamen der DNS-Server. Das findet man in der Regel bei den Anbietern dieser Server heraus.

Ein Besuch auf der Seite von Cloudflare gibt diese benötigten Informationen preis, die wir dann in der Fritzbox unter „Internet/DNS-Server“ eingeben:

  • 1dot1dot1dot1.cloudflare-dns.com
  • one.one.one.one

Cloudflare ist ein großer Internet-Dienstleister, deren DNS – Server sind auch unverschlüsselt gut und sehr schnell zu nutzen. Die IP ist leicht zu merken: 1.1.1.1.
Das tragen wir auf der Seite in der Fritzbox ein, und dann setzen wir noch einen Haken bei „DNS over TLS (DoT)“. Es öffnet sich ein Textfenster, und hier geben wir die beiden Auflösungsnamen ein, einen proZeile.

Das Ganze noch mit „Übernehmen“ bestätigen, und ab sofort belauscht niemand mehr, was sich ihr Haushalt so im Internet ansieht.

AirTags als Diebstahlschutz am Fahrrad…

AirTags sind ja eigentlich entwickelt, um einem Verlust vorzubeugen. (Siehe unsere Artikel hier). Wie wäre es denn, so einen auch als Diebstahlsschutz zu verwenden? Schutz vor Diebstahl ja eher nicht, eigentlich nur, um es nach dem Diebstahl eines Fahrrades vielleicht wiederzubekommen. Erste Frage, die sich stellt: wo so einen AirTag möglichst unauffällig unterbringen? Instinktive erste Lösung: unter den Sattel kleben. Nicht so richtig gut: auf die Idee kommt jeder halbwegs pfiffige Dieb auch, und allein, wenn man das Rad anhebt, greift man da hin. Ins Rücklicht geht auch nicht, das ist zu klein und der AirTag zu groß und zu rund.

Hilfe bietet das Internet: die Suche nach „AirTags“ und „Fahrrad“ fördert Diverses zu Tage, unter anderem auch eine 3D-gedruckte Halterung, die unter einen Flaschenhalter geschraubt wird (siehe gelb markiert im Bild). Das ist recht unauffällig, und als zusätzliche Sicherung wird ein Satz Spezial-Schrauben mit passendem Bit mitgeliefert.

AirTag, gut verpackt

In Benutzung

Das Fahrrad steht bei Nichtbenutzung im Keller, und immer, wenn ich es nach einigen Stunden Stillstand da raushole und bewege, greift Apples Mechanik „ein fremder Airtag ist bei Dir“ – es macht leise, piepende Geräusche. Das passiert, wenn ich das iPhone NICHT dabei habe, die AppleWatch reicht nicht aus. Und das iPhone braucht eine Zeit, bis es den eigenen AirTag geortet hat. Lasse ich mit dem iPhone in der Tasche etwas Zeit verstreichen, bis ich das Fahrrad bewege, dann erkennt der AirTag, dass er zu diesem iPhone gehört und piept nicht. Nun nehme ich aber an, dass das Fahrrad eher nicht aus dem gut gesicherten Keller gestohlen wird, sondern in freier Wildbahn, also vor der Kneipe abgeschlossen, deswegen wird in diesen Fällen das Piepen nicht ertönen.

Jetzt hoffe ich mal, dass ich diesen Beitrag nie ergänzen muss, ob es denn geklappt hat oder nicht!