[Sammelthread] iOS 17 - Final

[AndaleR]

Ist es möglich dieses "Löschen und als SPAM melden" irgendwo abzustellen?

Das kam jetzt neu dazu und nutze ich gern. Kam ja immer mehr Spam per SMS.

Ansonsten: Es kommt die SMS und wenn ich den Kontakt kenne, speicher ich ihn ab.

Option zum deaktivieren dieser Funktion habe ich keine gefunden.

Holschlud des Nutzers.

Nicht Bringschuld?

Mir ging es mit meiner Frage nicht um die Sicherheit - ich hatte am Samstag mein MacBook eingerichtet und da hatte ich dann eben auch den Fall, einen Code per SMS bekommen zu haben. Das iPhone lag aber eben woanders.

Mir ging es um Bequemlichkeit. Und der Punkt ist bei mir eben weg mit dieser SMS-Weiterleitung.

 

[ottomane]

Es ist nicht unsicherer, wenn dafür ein und das selbe Gerät genutzt wird. Es kommt auf die Kombination der Faktoren an.

Du verlinkst den Artikel, der davon abrät, nur ein Gerät zu nutzen

Nicht bei mir. Man kann sich auch anders bestätigen, z.b. über die App. Muss man halt wollen.

Aber es ist keine Pflicht und der Normalo da draußen kann es anders machen. Sicherheitsfeatures sollten vom Worst Case ausgehen.

 

[Onslaught]

Nicht Bringschuld?

Naja, beides. Sich das Wissen anzueignen ist Holschuld. Das auch umzusetzen, indem man seine Accounts dann auch absichert, ist Bringschuld.

Du verlinkst den Artikel, der davon abrät, nur ein Gerät zu nutzen

Nein.

Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) verwendet wird.

Ergänze bei Chipkarte/TAN Generator noch smartphone als Hardware.

 

[Joh1]

Aber lassen wir das. Macht, was ihr wollt. Jeder der will, kann das Problem verstehen.

Ich verstehe das Problem tatsächlich aber nicht so ganz. Wenn die SMS auf ein andere Gerät von mir weitergeleitet wird und jemand die lesen kann hat er ja schon zugriff auf eins von meinen Geräten.
Damit wäre ja auch die 2FA von Apple total unsicher
Wenn ich mich zB bei der iCloud anmelden möchte wird das ja auch auf jedem meinem Geräte angezeigt. Wo ist hier der Unterschied?

 

[ottomane]

Nein.

Doch.

Damit wäre ja auch die 2FA von Apple total unsicher

Ich habe nirgends gesagt, dass es "total unsicher" sei, sondern ich weise darauf hin, dass es eine völlig unnötige Reduktion der Sicherheit ist.

Und nur weil Apple es so macht, wird es nicht besser, insofern sehe ich da gar kein Argument. Apple setzt halt andere Prioritäten bei Komfort und Sicherheit als z.B. Banken es tun (müssen).

Die Diskussion bringt hier am Ende keinen weiter. Es ist alles gesagt, nur noch nicht von jedem. Ich bin daher hier raus.

 

[Onslaught]

Doch.

Nö.

Und das ein Smartphone nicht gleichzeitig mehrere Faktoren darstellen kann, steht in dem Artikel mit keiner Silbe. MFA bedeutet nicht, mehre Geräte nutzen zu müssen. Ein Gerät, im Falle des Smartphone, kann auch durchaus mehrere Faktoren darstellen.

 

[ottomane]

Es geht hier im Thread um SMS, die z.B. auf einen Mac weitergeleitet werden.

MFA bedeutet nicht, mehre Geräte nutzen zu müssen.

Behaupte ich auch nicht. Aber es ist besser, wenn man das tut. Siehe BSI:

Gängig ist hier vor allem die Übermittlung per SMS (mTAN, smsTAN) ggf. mit Angabe zusätzlicher Transaktionsinformationen. Es ist jedoch davon abzuraten für den Empfang der mTAN dasselbe Gerät zu verwenden, wie für das Log-In bzw. die Nutzung des Dienstes (keine ausreichende Trennung der Faktoren).

 

[Joh1]

Wenn die SMS auf ein andere Gerät von mir weitergeleitet wird und jemand die lesen kann hat er ja schon zugriff auf eins von meinen Geräten.

@ottomane aber was ist mit dem Punkt?

 

[Odin.666]

Es geht hier im Thread um SMS, die z.B. auf einen Mac weitergeleitet werden.



Behaupte ich auch nicht. Aber es ist besser, wenn man das tut. Siehe BSI:

Deswegen sind optische TAN bessere Wahl für mich

 

[ottomane]

@ottomane aber was ist mit dem Punkt?

Er hat Zugriff auf ein Gerät und kann dich ggf. kompromittieren, stimmt.

Aber wenn du nicht weiterleiten würdest, bräuchte er zeitgleich Zugriff auf zwei unterschiedliche Geräte, die zudem unterschiedlich geschützt sind. Das ist deutlich schwieriger für den Angreifer.

 

[Ijon Tichy]

Die Geräte sind so konzipiert, dass es für einen Fremden gleichermaßen schwer sein sollte, auf ein iPad, als auch auf ein iPhone Zugriff zu erhalten.

Ja, es ist zwar nicht einfach, aber eben doch möglich: Angenommen, jemand schafft es, Zugriff auf dein Gerät mit der Banking-App zu erlangen, dann soll ja die 2FA verhindern, dass der auch Zugriff dem zweiten Faktor bekommt. Wenn aber die Freigabe-SMS auf dasselbe Gerät gesendet werden, auf das schon Zugriff besteht, schützt der separate Kanal eben nicht mehr.

 

[ottomane]

Eine Frage zu Apple Karten bzw. Siri:

Ist das bei Euch auch so, dass Siri/Karten bei der Navigation zur Privatadresse ("Hey Siri, bring mich nach Hause!") gelegentlich die Navigation zur nächsten Stadt, in der es diese Kombination aus Straße/Hausnummer gibt, startet?

Das ist ziemlich blöd, vor allem, wenn man in einer Straße wohnt, die es in vielen Orten gibt.

In Apple Karten ist meine Privatadresse korrekt und vollständig mit Ort eingetragen.

 

[BalthasarBux]

@ottomane Nein, nie. Ich mach das allerdings nie mit Siri, sondern nur mit dem entsprechenden Knopf in Karten.app
Hast du auch die PLZ gespeichert?

 

[Odin.666]

Im Kontaktkarte kann man Privatadresse eingeben

 

[Macbeatnik]

Ja, es ist zwar nicht einfach, aber eben doch möglich:

Ja, wie immer gilt, das Sicherheit und Bequemlichkeit einander spinnefeind sind und wer wert auf Bequemlichkeit legt, der muss dann eben Abstriche hinnehmen und AusnahmeFälle kann man immer konstruieren.
Ansonsten, wer schleppt denn immer mindestens 2 Geräte mit sich herum oder hat Zugriff auf den entfernten 2. Faktor, ich denke, da ist der Faktor Bequemlichkeit der ausschlaggebende.
Wer zudem Zugriff auf das Gerät hat könnte auch auf anderen Wegen unter Umständen die 2FA umgehen.

 

[Ijon Tichy]

Wer zudem Zugriff auf das Gerät hat könnte auch auf anderen Wegen unter Umständen die 2FA umgehen.

Wie zum Beispiel?

 

[Macbeatnik]

Wie zum Beispiel?

Konstruierter Fall.
Den Regel des BSI entsprechend 2FA auf einem anderen Gerät eingestellt, aber der Fremde hat vollZugriff auf ein Gerät und wie in euren Fall dargestellt, der Fremde hat die Möglichkeit die mTan oder was auch immer zu öffnen/lesen, dann wäre es für ihn möglich(k.A. ob es da Sperren geben könnte) über einen Browser und einem anderen Gerät auf die Bank zuzugreifen, an Passworte sofern mal der Browser und die Bankverbindung genutzt wurde kann er ja zuzugreifen, sofern hier jetzt die 2FA greift bekommt er ja die SMS auf das geklaute Gerät, legitimiert sich so und kann dann tätig werden. Wie gesagt schwer konstruiert, aber vielleicht eine Möglichkeit. Ich denke wie gesagt, man kann immer Fälle konstruieren, mit der man Mittel und Wege findet etwas zu umgehen und vor allem nichts ist sicher, alles was bisher gebaut oder programmiert wurde hat Lücken und ist verwundbar.

 

[ottomane]

Hast du auch die PLZ gespeichert?

Ja, ist dabei.

Im Kontaktkarte kann man Privatadresse eingeben

Da ist auch alles korrekt drin.

Danke Euch für die Antworten.

 

[BalthasarBux]

Konstruierter Fall
Den Regel des BSI entsprechend 2FA auf einem anderen Gerät eingestellt ...
an Passworte sofern mal der Browser und die Bankverbindung genutzt wurde kann er ja zuzugreifen, sofern hier jetzt die 2FA greift bekommt er ja die SMS auf das geklaute Gerät ...

Du konstruierst einen Fall, in dem der Angreifer wieder Zugriff auf beide Faktoren durch ein Gerät bekommen hat. Damit stimmt aber die Prämisse nicht mehr, denn es wurden nicht, wie vom BSI empfohlen, zwei Geräte genutzt. Es geht ja gerade darum, die Faktoren so voneinander zu trennen, dass wenn ein Faktor verlorgengeht, der Angreifer nichts anstellen kann. Wenn beide Faktoren (Logindaten und 2FA-Code) auf einem Gerät sind, dann ist ja die Idee von 2FA nicht ordentlich umgesetzt worden. Das ist ja das, was @ottomane hier in diversen Posts zu erklären versucht.

Wer zudem Zugriff auf das Gerät hat könnte auch auf anderen Wegen unter Umständen die 2FA umgehen.

Und es war die Frage, wie man das bei korrekt umgesetzter 2FA anstellen können soll. Ohne Login bringt dir 2FA nix, und ohne 2FA die Logindaten nicht.

 

[JoeJoe69]

iOS 17.2.1 ist jetzt zum Downloaden………