Apple drängt iOS-Nutzer zu Sicherheitsfragen

Apple hat offenbar damit begonnen, über iOS oder iTunes einige App-Store-Nutzer zum Hinterlegen von Sicherheitsfragen und zur Bestätigung des Passwortes ihrer Apple ID aufzufordern. Apples Hinweis lässt sich zwar abbrechen, allerdings scheinen dann keine weiteren Downloads aus dem App Store möglich zu sein. Es ist unklar, in welchem Umfang das Unternehmen Nutzer zur Überprüfung dieser Angaben auffordert und ob dies beispielsweise nur Apple-ID-Besitzer betrifft, die bislang noch keine Sicherheitsfragen eingetragen haben.

Die durch den Nutzer ausgewählten Sicherheitsfragen und Antworten können im Fall eines vergessenen Passworts zum Reaktivieren des Accounts dienen – allerdings kann ein Angreifer mit Kenntnis der Antworten das Benutzerkonto leicht übernehmen. Der Passwort-Wiederherstellungsprozess zählt auch zu den Angriffsflächen bei der Übernahme von App-Store-Accounts. Die gekaperten Apple-IDs werden dann unter anderem für geringe Summen an Dritte verkauft, die damit ihre Accounts in verschiedenen iOS-Spielen über In-App-Käufe aufladen, bis Apple die ID sperrt oder das Guthaben aufgebraucht ist.

Apple weist zwar seit Sommer 2011 per E-Mail darauf hin, wenn App-Downloads oder Einkäufe mit einer bekannten Apple ID von einem unbekannten Gerät getätigt werden – dann ist es allerdings meist schon zu spät. Lediglich Nutzer mit hinterlegten Kreditkartendaten sind zusätzlich geschützt, da der erste Kauf von einem neuen Gerät meist auch die Eingabe und Bestätigung des Sicherheitscodes der eigenen Kreditkarte erfordert.

In Apples Forum zeigten sich mehrere Nutzer verwirrt über die plötzliche Aufforderung zur Aktualisierung ihrer Sicherheitsinformationen und witterten wiederum einen besonders geschickten Phishing-Angriff. Apple hat sich zu der Angelegenheit bislang nicht geäußert. (lbe)