iOS 17.3 – Das iPhone richtig absichern

Apple hat mit iOS 17.3. eine Sicherheits-Schwachstelle beseitigt, die zur kompletten Übernahme der AppleID durch Fremde führen konnte. Da haben wir schon eine Anleitung zur Absicherung geschrieben („Sicherheitshinweis“, hier zu finden.) Im Lichte des Updates haben wir unseren Beitrag überarbeitet und geben Ihnen im folgenden eine step-by-step Anleitung, wie Sie unter iiOS 17.3 das iPhone richtig absichern, ohne dass die einfache Bedienung darunter leidet.

Szenario:

Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht.
Das Telefon wird dem Opfer entwendet. Der Böse meldet sich mit der beobachteten oder gefilmten PIN sofort an, ruft die iCloud-Einstellungen auf und muss dazu die ausspionierte PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen!
Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels.
Anschließend werden alle im Account befindlichen Geräte gesperrt, damit der rechtmäßige User ausgeschlossen wird.
Danach erfolgt die „Ernte“.
Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN? Sicherheitshalber kann er in der Passwort-Datei von iOS nachsehen – die ist auch nur mit der Geräte-PIN gesichert.

Wie schützen Sie sich am besten gegen so einen Fall?

Wir haben unsere bisherige Empfehlung „Sicherheitshinweise“ mit den neuen Features unter iOS 17.3 erweitert und geben einen „Step-by-Step“ Anleitung, wie man sein digitales Leben sicher sichert…

🙄

################### Weiterlesen ###################

Starface jetzt in Apple CarPlay…

Mit der neuen Version der Starface App für das iPhone (8.1.x) taucht jetzt Starface auch in Apple Car Play auf.

  • Anzeige eingehender Anrufe und Starten ausgehender Anrufe
  • Anrufe können aus dem Auto über die STARFACE CarPlay Benutzeroberfläche gestartet und angenommen werden
  • Starten von Anrufen mit CarPlay: mit Siri-Sprachsteuerung sowie aus der Anrufhistorie über Favoriten- und Telefonbuch-Kontakte
  • Rufliste bzw. Anrufhistorie verfügbar
  • Status-Anzeige von Kontakten derselben STARFACE Anlage unter Favoriten und Anrufhistorie
Starface in Carplay
Starface im Auto…

24MPixel aus den neuen iPhones

So langsam kommen die Details zu den Kameras in den neuen iPhones ans Licht, Dank geht mal wieder an die üblichen Verdächtigen: Daring Fireball, DPReview und Heise.

Zur Erinnerung:

Im iPhone 14Pro gab es einen neuen Sensor, den der sogenannten Hauptkamera, mit einer 48 Megapixel Auflösung. Das iPhone hat diese 48 Megapixel immer auf ein 12 Megapixel Bild heruntergerechnet. Dazu wurden jeweils 4 Pixel zu einem größeren, rauschärmeren gebündelt.

Einige Kamera Apps (Halide, z.B.) erlaubten das Fotografieren mit voller Auflösung. Die Bilder waren schon arg rauschanfällig.

In den iPhone 15Pro sind die Kameras mit wieder etwas größeren Sensoren ausgestattet, der Sensor der Hauptkamera nimmt aber weiterhin mit 48MPix auf. Der Trick ist jetzt, dass das iPhone immer ZWEI Aufnahmen macht, eine mit 48MPix und eine mit 12MPix. Die 48er-Keule holt die Details aus den Bildern heraus, die 12MPix-Aufnahme sorgt durch die größeren Pixel für deutlich rauschärmere Bilder.

Der Trick ist, diese beiden Bilder intelligent zu kombinieren. Es entsteht dann ein Bild mit 24 MPix Auflösung und geringerem Rauschen.

Diese Rechnerei ist kein einfaches Runterskalieren, es kombiniert das beste aus beiden Welten – Auflösung und Rauscharmut.

Kleiner Nebeneffekt: In der Kamera-App kann jetzt durch mehrfaches Antippen der „1x“ – Markierung bei der Brennweitenauswahl eine der klassischen Brennweiten gewählt werden: 24mm, 28mm und 35mm. Die Berechnung der Bilder erfolgt dann wie oben geschildert und sollte eine deutlich gute Bildqualität haben.

Die Ultraweitwinkelkamera (0,5x) und die Telekamera (3x/5x) bleiben bei 12MPix.

Sobald unser Testgerät hier eintrudelt (aktuelle Lieferzeiten bei Bestellung jetzt November!) werden wir die per Internet-Gesetz geforderten Katzenbilder natürlich nachliefern.

FIDO2 und Passkeys…

FIDO Konsortium

Eine Welt ohne Passworte? Wäre das nicht wunderbar? Einfach auf allen Webseiten sich anmelden und nichts eingeben, weder Benutzernamen noch Kennwort? Und es sieht so aus, als würde das so werden. Dazu arbeiteten verschiedene große IT-Firma zusammen, unter dem Dach des sogenannten FIDO Konsortiums. (Links dazu weiter unten).

Das Problem mit den Kennworten ist groß und wird immer größer: Die Empfehlung von Sicherheitsforschern ist, für jede Webseite ein langes Kennwort und nach Möglichkeit auch gleich den Schutz durch einen zweiten Faktor einzurichten. Um das zu machen, muss man allerdings (fast) zwingend einen Passwort-Manager nutzen, es sei denn, Sie können sich 1000 unterschiedliche, komplizierte Kennworte merken – Glückwunsch. Das mit dem Passwort-Manager ist den meisten Menschen aber schon viel zu kompliziert, und entweder benutzen sie dann nur ein Kennwort für alles – GANZ GEFÄHRLICH oder nur wenige wieder benutzen Kennworte – auch gefährlich.

Wie soll das aber nun genau funktionieren mit der kennwortlosen Zukunft?

Die Idee dahinter ist die, dass mittlerweile fast jeder Mensch ein digitales Endgerät hat, was eine sogenannte biometrische Identifikation ermöglicht, also FaceTime oder Fingerabdrucksensor, Windows Hello oder tatsächlich einen festen Schlüssel wie den YubiKey. Damit ist der Mensch sicher und eindeutig identifiziert, und diese Voraussetzung ist die Basis für einen interessanten Ablauf zur Anmeldung an Webseiten.

Wie geht das genau?

1.) Sie richten sich einen Account auf einer neuen Webseite ein. Wenn die Webseite Passkeys unterstützt (es werden immer mehr) dann schickt Ihnen der Server ein Bündel an Informationen, z.B. auch die genaue URL – das wird bei Phishing wichtig mit sehr ähnlich aussehenden URLs.

2.) Mit diesen Informationen erzeugt Ihr Rechner/iPhone lokal ein Schlüsselpaar, einen zum Zuschließen (den öffentlichen Schlüssel) und einen zum Aufschließen (den privaten Schlüssel). Der öffentliche Schlüssel wird dann an die Webseite geschickt, die den abspeichert, der private Schlüssel verläßt Ihren Rechner NIE.

3.) Wenn Sie sich später auf dieser Webseite anmelden, dann fragt der Rechner/das iPhone, ob sie den gespeicherten Passkey nutzen wollen. Und hier kommt schon mal der Schutz vor Phishing ins Spiel: Dies Abfrage kommt NICHT, wenn die URL nicht exakt so ist wie bei der Anmeldung.

4.) Stimmen Sie zu, werden Sie aufgefordert, sich zu identifizieren: Per Facetime oder Fingerabdruck z.B.

5.) Die Webseite schickt Ihrem Gerät jetzt einen Code, verschlüsselt mit Ihrem öffentlichen Schlüssel.

6.) Ihr Gerät entschlüsselt diese Nachricht, wenn das klappt ist gesichert, dass der Code von der richtigen Webseite kommt.

7.) Ihr Gerät schickt eine Antwort, die es mit einer Signatur markiert, die mit dem privaten Schlüssel erstellt wird. Diese Signatur ist NICHT der private Schlüssel, das ist lediglich eine Art verschlüsseltes Etikett.

8.) Die Webseite prüft mit dem hinterlegten öffentlichen Schlüssel, ob das Etikett passt, wenn ja, sind sie drin – um mal einen bekannten Tennisspieler zu zitieren.

Passkeys können über verschiedene Geräte hinweg synchronisiert werden, am Export und Import wird grad noch gearbeitet. Und der oben geschilderte Ablauf ist aus Gründen der Verständlichkeit stark vereinfacht dargestellt.

Nachtrag

Nachtrag: Man kann alle diese Passkeys und Kennworte im Schlüsselbund auf dem Mac oder dem iPhone speichern, wir würden aber aus Gründen zu einem anderen Kennwortmanager raten. 1Password wäre da unsere Empfehlung, die Unterstützung für Passkeys angekündigt haben. Und das wollen sie am 6.06.2023 bekannt geben, was ja bekanntlich einen Tag nach der WWDC von Apple ist.

Und das ist etwas, was ich mir von Apple auf der WWDC erwarte: Eine noch mehr erweiterte Unterstützung für Passkeys, zum Beispiel auf der Seite für die AppleID. Und wenn sie – also Apple – schon mal dabei sind, dann könnten sie doch vielleicht auch gleich das Problem mit der viel zu einfachen Accountübernahme lösen. Dazu haben wir hier schon was geschrieben, auch, wie sie sich dagegen schützen k önnen.

Lesetips:

Nachtrag 2:

1Password unterstützt jetzt mit einer Betaversion der Safari-Erweiterung Passkeys! Und das kann man schon mal z.B. bei Adobe anwenden. Der Anmeldedialog hat dann einen Link: „Mit Hauptschlüssel anmelden“.

Die WWDC im Juni wird spannend…

Warum? Nur so ein Gefühl, genährt von der Vorstellung von Final Cut Pro und Logic für das iPad. Das ist ein großer Schritt, um die iPad-Platform weiter zu etablieren und zu verbreitern, und Apple würde sich normalerweise nicht nehmen lassen, das ausführlich zu besprechen.

Nur 90 Minuten…

Die WorldWideDevelopersConference (WWDC) im Juni dauert 90 Minuten, es gab ganz wenige, die sich 120 Minuten hinzogen. Danach ist die Aufmerksamkeitsspanne für die vielen „magischen, unglaublichen“ neuen Produkte vorbei. Es gibt also ein klares Zeitkontingent, und Apple hat jetzt grad für 10-15 zusätzliche Minuten gesorgt.

Dass Apple jetzt die Vorstellung von Logic und FCP eher so im Nebenbei erledigt, könnte ein Indikator sein, dass die 90 Minuten im Juni gut gefüllt und sehr spannend sein könnten…