iPhone-Passcode als Sicherheitsrisiko: Wenn das digitale Leben bei Apple liegt

In den USA macht gerade die Geschichte von Reyhan Ayas die Runde. Der Unternehmensberaterin ist das widerfahren, wovor wir in der Vergangenheit schon im Zusammenhang mit Apples Passwortverwaltung iCloud-Schlüsselbund gewarnt haben. Die Apple-ID ist längst nicht mehr der Zugangscode zum iPhone allein, sondern kann der Generalschlüssel zum kompletten Leben – inklusive aller Finanzen – ihres Besitzers sein. Ayas wurde das iPhone entwendet und in der Folge haben die Räuber ihr Bankkonto um 10.000 Dollar erleichtert.

This is a story about crimes happening across the country, but this is also about how Apple has put so much power in the passcode. That single string of digits allows a thief to:
🔴 Change an Apple ID password
🔴 Access iCloud keychain passwords
🔴Use Apple Pay (🧵2/7)

— Joanna Stern (@JoannaStern) February 24, 2023

Die vollständige Geschichte könnt ihr euch gewohnt gut aufgearbeitet im unten eingebetteten Video von Joanna Stern ansehen. Knackpunkt ist die Tatsache, dass die Apple-ID bei den meisten iPhone-Besitzern genügt, um nicht nur deren Telefon zu öffnen, sondern auch Zugang zu umfassenden persönlichen Informationen zu erhalten.

Die im iCloud-Schlüsselbund gespeicherten Zugangsdaten bilden dabei die Grundlage für kriminelle Aktivitäten wie den Diebstahl im aktuellen Fall. Mithilfe der von vielen Menschen auf ihrem iPhone gespeicherten persönlichen Informationen wie etwa Fotos von Ausweisen und sonstigen Dokumenten kann sich ein Dieb zudem diverse weitere Vorteile verschaffen.

Aus den USA wird mittlerweile eine ganze Welle solcher Kriminaldelikte gemeldet, deren Ablauf stets weitgehend identisch ist. Die Täter spähen den Passcode ihrer Opfer in Situationen aus, wo beispielsweise Touch ID oder Face ID nicht funktionieren und der Code manuell eingegeben werden muss, und rauben im Anschluss das iPhone. Innerhalb weniger Minuten wird dann die Apple-ID des Telefons geändert (das zugehörige Password findet sich ja im iCloud-Schlüsselbund) und der rechtmäßige Besitzer des Geräts ist komplett ausgesperrt, hat nichtmal mehr die Möglichkeit, sein iPhone mithilfe von Apples „Wo ist?“-System zu lokalisieren oder zu löschen.

Nicht alles in eine Hand legen

Apple muss sich im Zusammenhang mit den bislang öffentlich gewordenen Fällen heftiger Kritik stellen, allem voran aufgrund der Tatsache, dass Betroffene keine Möglichkeit haben, direkte Unterstützung oder die Kontrolle über ihre Apple-ID zeitnah zurück zu erhalten. Auf Anfrage teilte das Unternehmen lediglich mit, man fühle mit den Betroffenen mit, allerdings sei dergleichen selten und mit viel Aufwand verbunden, dennoch wolle man den Schutz seiner Benutzerkonten weiterhin verbessern.

Für spontane Abhilfe kann eigentlich nur sorgen, wenn man Abstand davon nimmt, all seine persönlichen Daten in die Hände von Apple zu legen, sondern zumindest einen separaten Passwort-Manager anstelle des iCloud-Schlüsselbunds verwendet – ganz egal wie bequem die Apple-Lösung auch ist. Bereits ohne derartige Diebstahlsszenarios haben Beispiele in der Vergangenheit gezeigt, wie dramatisch sich eine gesperrte Apple-ID auf Personen auswirken kann, die dem Unternehmen ihr komplettes digitales Leben anvertraut haben.