• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Schwarz-Weiß in allen Schattierungen und Facetten, keineswegs nur traurig und düster - es gab eine Vielzahl an interessanten Einsendungen. Nun müsst Ihr entscheiden. Hier geht es lang zur Abstimmung --> Klick

Riesen Sicherheitslücke: Apple ID Passwort mit Passcode ändern

jensche

Harberts Renette
Registriert
27.10.04
Beiträge
7.034
Inwiefern kommt da nun relevanter Weise "wenn biometrische Anmeldung fehl schlägt" zum Tragen?
Nach 3 Fehlschlägen von Face ID kommt automatisch der Passcode. 4-6 stellen kann man schon im Augenwinkel mitschauen.

Oder wenn jemand Face ID (evtl. sogar aus versehen deaktiviert). Z.b. mit 3mal auf die Seitentaste klicken. Dann kommt der Passcode.

Oft aber auch schon wenn FaceID nicht sauber funktioniert.
 

Joh1

Golden Noble
Registriert
01.04.14
Beiträge
15.126
Natürlich kann das mal passieren, wenn ich allerdings 99% der Anmeldungen (erfolgreich) biometrisch tätige, muss es schon mit dem Teufel zugehen, dass genau dann wenn ich von Betrügern beobachtet werde, mein biometrisches Verfahren fehl schlägt UND ich dann sichtbar für den/die Betrüger, meinen numerischen Passcode eingebe UND anschließend mein iPhone/iPad auch noch von genau denen geklaut wird...
Das trifft ja auch alles zu wenn man nur den Code eingibt.
Bis auf den einen Zufall.
Aber auch da müssen die Diebe dich dabei erstmal sehen und es dir dann noch klauen.

Oder wenn jemand Face ID (evtl. sogar aus versehen deaktiviert). Z.b. mit 3mal auf die Seitentaste klicken.
Wieso Face-ID deaktivieren durch dreimal die Seitentaste klicken?
Ich deaktiviere dadurch kein Face-ID.
 

_macminimal

Spätblühender Taffetapfe
Registriert
11.11.14
Beiträge
2.798
Das trifft ja auch alles zu wenn man nur den Code eingibt.
Bis auf den einen Zufall.
Aber auch da müssen die Diebe dich dabei erstmal sehen und es dir dann noch klauen.
Genau das schreibe ich doch?!

Ausgangspunkt: "Kriminelle könnten meinen numerischen Passcode ausspionieren und mit eben diesem auch Kontrolle über meine A-ID erlangen."

Mein Input dazu (verkürzt): "Wenn man (hauptsächlich) biometrische Anmeldung nutzt, halte ich dieses Szenario für unwahrscheinlich"

Antwort: "äääh ja, aber..."

Ist alles iO, aber ich habe den Eindruck einige (wir) reden hier aneinander vorbei?

Weil man dann wenn es fehlschlägt was ja durchaus mal sein kann dann auch in der Öffentlichkeit den Code eingeben muss...
Dann sollte man sich in genau diesen (tendenziell seltenen) Fällen nicht "beobachten" PLUS sich danach das iPhone nicht klauen lassen. Sowas gilt natürlich auch dann, wenn man mal in der Öffentlichkeit sein A-ID-PW über die Sicherheitsfragen zurücksetzen muss... ;)
 

jensche

Harberts Renette
Registriert
27.10.04
Beiträge
7.034
"Wenn man (hauptsächlich) biometrische Anmeldung nutzt, halte ich dieses Szenario für unwahrscheinlich"
eben nicht... aus versehen den seitenknopf 3 mal gedrückt kommt Passcode abfrage, FaceID nicht sauber ausgeführt kommt Passcode usw.
 

_macminimal

Spätblühender Taffetapfe
Registriert
11.11.14
Beiträge
2.798
eben nicht... aus versehen den seitenknopf 3 mal gedrückt kommt Passcode abfrage, FaceID nicht sauber ausgeführt kommt Passcode usw.
Ich weiß... (bei Fehlversuchen kommt die Code-Abfrage) was ist deine Frage?! Bzw was habe ich dazu noch nicht geschrieben?
 

SchwanzusLongus

Goldparmäne
Registriert
23.09.15
Beiträge
557
Ihr diskutiert hier über ein theoretisches Ereignis, das in der Kombination nicht allzu oft auftreten dürfte...
  1. Die Situation, dass die biometrische Entsperrmethode nicht funktioniert, muss eintreten
  2. Ein pöser Dieb muss mich in genau diesem Moment beim Eingeben meines Passcode beobachten UND diesen auch noch richtig erkennen
  3. Der pöse Dieb muss mir mein Device klauen
 
  • Like
Reaktionen: AndaleR und voyager

Benutzer 250503

Gast
wie es geschehen kann wissen alle.
das es geschehen kann, sie davon wissen, es nicht gepatch wurde, ist der Aufreger.
Das Dich solche Dinge nicht sonderlich kümmern ist nicht schockierend neu und hast es schon durchblicken lassen.:cool:
 

BalthasarBux

Wagnerapfel
Registriert
25.12.19
Beiträge
1.578
Gerüchteweise sollte es was neues mit iOS/iPadOS 17 geben, aber vielleicht muss man erst mal die kommende Keynote abwarten.
Was sollen das für Gerüchte sein? iOS 17 Beta gibt es schon ne Weile. Welche Gerüchte oder Funktionen beziehen sich denn darauf, dass die Schwachstelle "PIN für Passwortänderung und Aussperrung aus der eigenen AppleID" beschränkt wird?
Ich beziehe mich auf die Argumentation, dass "Betrüger den Passcode ausspähen" (indem sie zusehen während man diesen eingibt) und später, wie hier kritisiert, damit sogar A-IDs (PWs) ändern könnten.
Die Häufigkeit halte ich für irrelevant. Es sollte gar nicht zur Debatte stehen, dass dieser Code allein ohne irgendeinen anderen Faktor ermöglicht, das AppleID-Passwort zu ändern. Mindestens sollte man es deaktivieren können. Seit biometrischen Möglichkeiten ist mein "Code" sowieso alphanumerisch und lang, aber ich bin auch nicht Ziel solcher Angriffe.
  1. Die Situation, dass die biometrische Entsperrmethode nicht funktioniert, muss eintreten
  2. Ein pöser Dieb muss mich in genau diesem Moment beim Eingeben meines Passcode beobachten UND diesen auch noch richtig erkennen
  3. Der pöse Dieb muss mir mein Device klauen
Man fühlt sich häufig unangreifbar und klug, wenn einem sowas noch nie passiert ist. Aber solche Aktionen passieren meist sehr schnell und sehr gut geplant. So ein Angriff findet natürlich nicht gezielt auf dich statt, aber an Orten, wo viele Leute sind. In einer Bar liegen zig iPhones auf Tischen. Man sieht ja, ob jemand regelmäßig einen Code eingibt, wenn er was am iPhone macht. Diese Person kann man dann genauer beobachten.
Heißt: Wenn du vorsichtig bist, wird dir wohl nie was passieren. Darum geht es aber nicht. Es sollte nicht möglich sein, diese Schwachstelle so einfach ausnutzen zu können. Wie bereits beschrieben, sind die Auswirkungen extrem: Man verliert tendenziell die Kontrolle über die komplette AppleID, kann von der ausgeschlossen werden. Zusätzlich kann auch ApplePay weiterverwendet werden und die Person hat Zugriff auf alles, was im iCloud-Keychain liegt. Nur durch Eingabe eines 4-6stelligen PINs. Das sollte nicht möglich sein. https://www.macrumors.com/2023/02/24/iphone-stolen-passcodes-report/

Diese Info muss halt auch zur letzten Person durchdringen, die als GerätePIN nur 123456 nutzt, weil sie denkt, dass auf dem Gerät ja nix wichtiges ist. Was dieser Code Stand jetzt alles bewirken kann, ist doch keinem Menschen klar, der sich hiermit nicht beschäftigt.
 
  • Like
Reaktionen: Benutzer 250503

_macminimal

Spätblühender Taffetapfe
Registriert
11.11.14
Beiträge
2.798
Die Häufigkeit halte ich für irrelevant. Es sollte gar nicht zur Debatte stehen, dass dieser Code allein ohne irgendeinen anderen Faktor ermöglicht, das AppleID-Passwort zu ändern. Mindestens sollte man es deaktivieren können. Seit biometrischen Möglichkeiten ist mein "Code" sowieso alphanumerisch und lang, aber ich bin auch nicht Ziel solcher Angriffe.
Ich halte die "Häufigkeit" für absolut relevant, denn diese sagt u.a. etwas über die Wahrscheinlichkeit und demnach das reale Risiko aus. Das hierbei eine andere (welche?) Mechanik besser wäre ist ein angegliedertes Thema.
 

Manou Sakis

Angelner Borsdorfer
Registriert
17.10.22
Beiträge
617
Ihr diskutiert hier über ein theoretisches Ereignis, das in der Kombination nicht allzu oft auftreten dürfte...
  1. Die Situation, dass die biometrische Entsperrmethode nicht funktioniert, muss eintreten
  2. Ein pöser Dieb muss mich in genau diesem Moment beim Eingeben meines Passcode beobachten UND diesen auch noch richtig erkennen
  3. Der pöse Dieb muss mir mein Device klauen
Scheint ja im Frühjahr in USA oft genug passiert zu sein... Laut Medienberichten waren da organisierte Banden am Werk,. Es wurden den Opfern ihre iPhones teilweise unter Vorhalt von Waffen bzw. Androhung von Gewalt abgenommen. Da hat man sich nichtmal die Mühe gemacht unauffällig vorzugehen. D.h. die Täter konnten einen bevölkerten Ort überblicken, z.B. ein Cafe, und wenn es ihnen gelungen ist einen Passcode zu erspähen - auch durch mitfilmen! - wurde die Person im Anschluss überfallen.
 

O-bake

Welscher Taubenapfel
Registriert
21.01.07
Beiträge
761
Scheint ja im Frühjahr in USA oft genug passiert zu sein... Laut Medienberichten waren da organisierte Banden am Werk,. Es wurden den Opfern ihre iPhones teilweise unter Vorhalt von Waffen bzw. Androhung von Gewalt abgenommen. Da hat man sich nichtmal die Mühe gemacht unauffällig vorzugehen. D.h. die Täter konnten einen bevölkerten Ort überblicken, z.B. ein Cafe, und wenn es ihnen gelungen ist einen Passcode zu erspähen - auch durch mitfilmen! - wurde die Person im Anschluss überfallen.
Wenn mich jemand mit vorgehaltener Waffe ausraubt, ist das wohl kaum eine Sicherheitslücke seitens Apple. Bei roher Gewalt und genügend krimineller Enrgie ist halt irgendwann ein Ende erreicht. Bei mehr oder weniger allem. Und das ist ja wohl eine absolute extrem-Ausnahme.

Übrigens: wenn ich meine PIN auf meine EC-Karte notiere und diese verliere, ist es keine Sicherheitslücke seitens meiner Bank. Das gleiche ist übrigens, wenn ich jemandem meinen iOS Passcode "zeige". Für ein letztes Minimum ist man eben noch selbst verantwortlich. Es sind nicht ausnahmslos immer die anderen Schuld.
 

AndaleR

Moderator
AT Moderation
Registriert
09.08.20
Beiträge
7.604
Wer vor diesem Leck Angst hat, kann sich noch schützen - über Beschränkungen (Bildschirmzeit) kann man dann die Code-Änderung nochmal über einen Code schützen… Also bitte nicht sagen, man kann sich nicht schützen.

Das ganze haben wir hier im Forum ja schon vor längerem diskutiert (Links in dem Thread schon gepostet), dachte jetzt kurz, da wär was neues auf dem Markt. Letzten Endes wird es NIE den ultimativen Schutz geben - man kann nur versuchen, aufzupassen. Allein FaceID - das nutze ich ja immer. Überlege, wie oft ich den Passcode eingeben musste in der Öffentlichkeit und dann noch, wenn neben mit ein fremder sitzt… Relativ selten?
 

SchwanzusLongus

Goldparmäne
Registriert
23.09.15
Beiträge
557
Ich verstehe den Punk schon - Passcode und iPhone weg => potentiell alles was du darauf gespeichert und in deinem Account hast ist weg bzw. der ganze Account.

PIN deiner Bankkarte und Karte wird geklaut => Ich rufe bei der Hotline an und lasse die Karte sperren. Abgesehen von Tageslimit etc.

Warum Apple da nicht einfach eine Option "Passcode für Passwortänderung" oder so einbaut versteht wohl keiner.
 

_macminimal

Spätblühender Taffetapfe
Registriert
11.11.14
Beiträge
2.798
Scheint ja im Frühjahr in USA oft genug passiert zu sein... Laut Medienberichten waren da organisierte Banden am Werk,. Es wurden den Opfern ihre iPhones teilweise unter Vorhalt von Waffen bzw. Androhung von Gewalt abgenommen. Da hat man sich nichtmal die Mühe gemacht unauffällig vorzugehen. D.h. die Täter konnten einen bevölkerten Ort überblicken, z.B. ein Cafe, und wenn es ihnen gelungen ist einen Passcode zu erspähen - auch durch mitfilmen! - wurde die Person im Anschluss überfallen.
Mal ehrlich, wer ein Handy mit vorgehaltener Waffe raubt, der muss vorher auch keinen Passcode "ausspähen". :eek: