Seite 2: Der Schlüssel ist das Passwort

Inhaltsverzeichnis

Bei geschätzt weit mehr als einer viertel Milliarde zahlungsfähigen Accounts sind iTunes- und App-Store-Nutzer schon lange ein bevorzugtes Angriffsziel. Um an die Zugangsdaten zu gelangen, verwenden Betrüger nach bisherigen Erkenntnissen zwei Methoden: Sie schleusen Keylogger oder andere Malware auf den Rechnern ihrer Opfer ein – meist unter Windows –, um Tastatureingaben auszuspionieren. Oder sie verschicken spam-artig Massenmails, so genannte Phishing-Attacken. Seit vielen Jahren kursieren immer wieder vermeintlich von Apple stammende, auf den ersten Blick authentisch wirkende E-Mails, die Besitzer einer Apple-ID etwa zur Aktualisierung ihrer Zahlungsdaten auffordern. Diese sind jedoch keineswegs von Apple initiiert, sondern leiten lediglich auf eine apple.com nachempfundene Seite weiter, die gutgläubig eingegebene Account- und Kreditkartendaten nur allzu gerne entgegennimmt. Ebenfalls beliebt als Lockmittel sind kostenlose Musikstücke oder Apps – um deren vorgeblichen Downloadcode zu erhalten, soll der Nutzer seine iTunes-Accountdaten abliefern.

Echte Websites und Server von Apple werden Sie immer an der Domain apple.com erkennen, die hinter http oder https (das s steht für "secure", die Daten werden verschlüsselt) steht, entweder direkt oder von einem Punkt getrennt, wie bei "appleid.apple.com". Wenn Sie also auf eine Website stoßen, die nicht offenkundig von Apple stammt, sondern möglicherweise eine nur ähnlich klingende Adresse trägt (etwa "youraccountdataapple.com"), sollten Sie diese wieder verlassen und auf keinen Fall Ihre Daten eingeben.

Nicht auszuschließen sind auch gezielte Angriffe per Brute-Force-Methode. Cracker versuchen dabei, mit Hilfe von Algorithmen und schnellen Rechnern ein hinterlegtes iTunes-Passwort zu erraten. Dies fällt natürlich leichter, wenn der Angreifer die Apple-ID schon kennt. Daher ist es generell sicherer, als Apple-ID eine E-Mail-Adresse zu verwenden, die in der Öffentlichkeit unbekannt ist, also noch nicht etwa in Sozialen Netzwerken, auf der eigenen Homepage oder in Foren veröffentlicht wurde. Da Apple den iTunes-Account allerdings nach mehreren falsch eingegebenen Passwörtern temporär sperrt, dürfte diese Methode vergleichsweise selten zum Einsatz kommen. Zum Entsperren des iTunes-Kontos kann der Nutzer entweder eine E-Mail an die hinterlegte Adresse schicken lassen oder zwei selbst festgelegte Sicherheitsfragen beantworten – bei diesen empfiehlt es sich natürlich ebenfalls, Informationen zu verwenden, die nicht öffentlich sind. Der Name des Haustiers und das Geburtsdatum lassen sich beispielsweise in vielen Fällen problemlos aus sozialen Netzwerken beziehen. Die Änderung der Sicherheitsfragen ist ebenfalls über appleid.apple.com möglich.

Ein versierter Angreifer ist zudem in der Lage, die iTunes-Zugangsdaten innerhalb eines WLANs mitzulesen, obwohl diese verschlüsselt übertragen werden. Dazu muss er das Opfer in einen manipulierten WLAN-Hotspot locken, der beispielsweise den Namen "Telekom" trägt, und ihm bei der Verbindungsaufnahme zu dem WLAN automatisch ein iOS-Konfigurationsprofil vorlegen, das etwa mit kostenloser Internetnutzung lockt. Dieses Profil, das sich als durch Apple signiert tarnen kann, ergänzt iOS dann um eine neue "vertrauenswürdige Zertifizierungsstelle, die Zertifikate für beliebige Server ausstellen kann", erklärt c't in "Das Bestiarium, Angriffe auf Hotspot-Nutzer" (Ausgabe 1/12, S. 87). Der Angreifer ist anschließend in der Lage, den Datenverkehr über einen SSL-Proxy zu leiten und mitzulesen, obwohl dieser verschlüsselt stattfindet. c't gelang es, den SSL-Proxy gegenüber dem iPhone als vertrauenswürdigen Apple-Server auszugeben und einen kompletten Kaufvorgang im App-Store inklusive Login-Daten zu belauschen. Apple ist über die Schwachstelle informiert und hat ein Update in Aussicht gestellt – wann dieses erscheint, ist unklar. Auch wenn offen bleibt, ob auf diesem Weg bereits iTunes-Accounts abgegriffen wurden, sollte man unerwartete iOS-Profileinstellungen oder Profile aus unbekannter Quelle grundsätzlich nicht installieren.