iPhone-Code reicht: Diebe sperren Opfer permanent aus Apple-Account aus
Nur mit Kenntnis der PIN können Diebe den iPhone-Eigentümer aus seinem iCloud-Account werfen. Apple verspricht nun, zusätzliche Schutzfunktionen zu prüfen.
(Bild: Shutterstock / Donenko Oleksii)
Ein iPhone-Diebstahl ist immer ein Ärgernis, bedeutet gewöhnlich aber nur, ein neues Gerät kaufen zu müssen. Wird vor dem Diebstahl allerdings die iPhone-PIN respektive der Gerätecode ausgespäht (oder mit Gewalt in Erfahrung gebracht), können die Diebe ihr Opfer unmittelbar aus dem Apple-ID-Account aussperren. Persönliche Fotosammlungen und alle anderen in iCloud gespeicherten Daten sind damit unter Umständen unwiederbringlich verloren.
iPhone-PIN erlaubt Übernahme der Apple-ID
Der Grund für diese Schwachstelle ist eine Apple-Komfortfunktion für Nutzer, die ihr Apple-ID-Passwort vergessen haben. Auf dem eigenen iPhone lässt sich mit Kenntnis des Gerätecodes einfach ein neues Passwort für Apple-ID und damit iCloud einrichten – ohne dafür das alte Passwort kennen zu müssen. In den USA scheinen Diebesgruppen diese Methode in jüngster Zeit gezielt einzusetzen, wie im Februar bekannt wurde, einzelne Berichte gibt es auch aus anderen Ländern wie Brasilien. Das Wall Street Journal spricht jetzt von mindestens "mehreren Dutzend" solcher Straftaten in US-Großstädten.
Die Opfer werden dabei meist in geselligen Situationen an einer Bar beobachtet oder auch gezielt angesprochen und dazu gebracht, ihr iPhone per Code zu entsperren – was dann offenbar ein Komplize beobachtet oder filmt. Anschließend versuchen die Diebe, unter anderem Geld aus Banking-Apps zu klauen.
Um ihre Opfer auch permanent aus dem Apple-ID-Account auszusperren und so etwa das Tracking des iPhones und Fernlöschen zu verhindern, legen Diebe zudem einen Wiederherstellungsschlüssel an – oder ändern einen bereits eingerichteten Wiederherstellungsschlüssel. Der Wiederherstellungsschlüssel ist eine Sicherheitsfunktion, die normalerweise ermöglicht, die Kontrolle über den eigenen Account wiederzuerlangen. Hat der Dieb allerdings den Wiederherstellungsschlüssel eingerichtet, wird das Opfer komplett aus seiner Apple-ID ausgesperrt. Auch über Apple direkt und mit Nachweisdokumenten wie einem Ausweis ist es nur schwer bis unmöglich, wieder Zugang zum eigenen Account zu bekommen, berichtet die Wirtschaftszeitung.
Apple will weitere Schutzmaßnahmen prüfen
In einer Stellungnahme gegenüber dem Wall Street Journal betonte Apple lediglich, das Unternehmen nehme auch seltene Angriffsszenarien ernst und habe "Mitleid" mit den Betroffenen. Apple "erforscht ständig zusätzliche Schutzmaßnahmen gegen neu aufkommende Bedrohungen wie diese". Einen richtigen Schutz gegen diese Masche gibt es derzeit nicht, Nutzer können nur darauf achten, ihren Gerätecode nicht öffentlich sichtbar einzugeben. Zusätzliche Schutzmaßnahme wie eine weitere Bildschirmzeit-PIN, die den Zugriff auf die Apple-ID-Einstellungen sperrt, helfen nur begrenzt.
Mac & i wird sich in der kommenden Ausgabe 3/2023 in einem Hintergrundstück mit dem Thema iPhone-PIN-Klau ausführlich beschäftigen und Wege aufzeigen, wie man sich schützen kann. Der Text wird für alle Abonnenten von heise+ vorab zur Verfügung stehen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)
