Joanna Stern und Nicole Nguyen vom Wall Street Journal haben ein Artikel (mit Paywall) und begleitend Video, das eine besorgniserregende Flut von Angriffen beschreibt, die von Einzelpersonen und Polizeidienststellen gemeldet wurden und auf iPhone-Nutzer abzielen, denen in den Vereinigten Staaten jährlich Hunderte bis Tausende von Opfern zum Opfer fallen können.
Sehen Sie sich das Video an, aber kurz , bringt ein Taugenichts jemanden in einer Bar dazu, seinen iPhone-Passcode einzugeben, während er heimlich zuschaut (oder ein Partner tut es für ihn). Dann stiehlt der Dieb das iPhone und stürmt davon. Innerhalb weniger Minuten hat der Dieb den Passcode verwendet, um Zugriff auf das iPhone zu erhalten und das Apple-ID-Passwort zu ändern, wodurch er „Find My“ deaktivieren, Einkäufe mit Apple Pay tätigen, Zugriff auf Passwörter erhalten kann, die im iCloud-Schlüsselbund gespeichert sind, und Fotos nach Fotos durchsuchen kann Bilder von Dokumenten, die eine Sozialversicherungsnummer oder andere Details enthalten, die für Identitätsdiebstahl verwendet werden könnten. Danach können sie Geld von Bankkonten überweisen, eine Apple Card beantragen und vieles mehr, während der Benutzer vollständig von seinem Konto ausgeschlossen ist.
Und ja, sie werden auch das iPhone löschen und weiterverkaufen. Fast keine Verbrechen wie diese wurden von Android-Nutzern gemeldet, wobei ein Polizeibeamter spekuliert, dass dies daran lag, dass der Wiederverkaufswert von Android-Telefonen niedriger ist. In dem Video sagte Joanna Stern, dass ein Dieb mit dem Passcode für ein Android-Telefon ähnliche Kunststücke des Identitäts-und Finanzdiebstahls vollbringen könnte.
Der Artikel des Wall Street Journal beschreibt drei Arten von Angriffen, von denen nur einer eindeutig ist vermeidbar. Diejenige, die in dem Artikel, den ich oben beschreibe, stark betont wird. Aber Stern und Nguyen sprachen auch mit Opfern, die unter Drogen gesetzt wurden – ein leider weit verbreitetes Problem – und befragte andere, die Gewalt ausgesetzt waren, um ihren Kodex zu enthüllen. In keinem Fall haben die Opfer etwas falsch gemacht, und jeder, der Bars oder ähnliche Veranstaltungsorte in städtischen Gebieten besucht, sollte aufpassen.
Angesichts der hohen Bekanntheit der Berichterstattung im Wall Street Journal erwarte ich voll und ganz, dass Apple diese Schwachstelle angeht in iOS 17, wenn nicht früher. Die offensichtliche Lösung besteht darin, den Benutzer aufzufordern, das aktuelle Apple-ID-Passwort einzugeben, bevor es unter „Einstellungen“ > „Ihr Name“ > „Passwort & Sicherheit“ > „Passwort ändern“ geändert werden kann. Das wird den Zugriff auf den iCloud-Schlüsselbund nicht blockieren, aber zumindest würde es dem Benutzer ermöglichen, das iPhone zu löschen.
Apple hat in der Vergangenheit wahrscheinlich nicht nach dem aktuellen Apple-ID-Passwort gefragt, weil der Passcode als a angesehen wird Sicherer zweiter Faktor – Sie haben das iPhone und kennen den Passcode. Wenn Sie sich dagegen bei der Apple-ID-Site anmelden, um Ihr Konto zu verwalten, müssen Sie Ihr aktuelles Passwort eingeben, gehen Sie durch Zwei-Faktor-Authentifizierung und geben Sie das aktuelle Passwort erneut ein, um es zu ändern. Es scheint eine einfache Änderung zu sein, zumindest bis Apple Gelegenheit hatte, über andere Optionen nachzudenken.
Am nächsten an einem zusätzlichen Passwortschritt ist ein Bildschirmzeit-Passcode. Wenn Sie die Bildschirmzeit aktivieren, einen separaten vierstelligen Bildschirmzeit-Passcode festlegen, Inhalts-und Datenschutzbeschränkungen aktivieren und „Kontoänderungen“ > „Nicht zulassen“ auswählen, kann niemand Ihr Apple-ID-Passwort ohne diesen Passcode ändern. Leider hindert es Sie sogar daran, Einstellungen > Ihr Name einzugeben, ohne zuerst zu Einstellungen > Bildschirmzeit > Inhalts-und Datenschutzbeschränkungen > Kontoänderungen > #### > Zulassen zu gehen. Die meisten Leute würden eine solche Bremsschwelle nicht hinnehmen.
Ein weiterer Fehler, den Stern und Nguyen bemerken, ist, dass Apples neue Hardware-Sicherheitsschlüssel-Option, wenn sie aktiviert ist, nicht immer funktioniert beim Vornehmen von Änderungen zur Eingabe des Hardwareschlüssels auffordern, wenn der Benutzer über den Gerätepasscode verfügt (siehe „Apple Releases iOS 16.3, iPadOS 16.3, and macOS 13.2 Ventura with Hardware Security Key Support“, 23. Januar 2023). Der Sicherheitsschlüsselschutz kann auch vollständig entfernt werden, ohne einen der Hardwareschlüssel zu haben. Apple sollte neu bewerten, wie diese Hochsicherheitsoption – auch wenn sie nur von einer Untergruppe von Benutzern genutzt wird – hält, was sie verspricht.
So schützen Sie sich
Sie denken vielleicht würde niemals Opfer eines Uhrendiebstahls, einer Unterdrückung in einer Bar oder bei einem Date oder eines Gewaltverbrechens werden. Der Diebstahl eines Passcodes kann jedoch auch unter anderen Umständen passieren. Und es hat so schwerwiegende Folgen, wie die Reporter des Wall Street Journal feststellten, dass ich denke, dass jeder, selbst wenn Sie kein Barfly sind oder in einem Gebiet mit einer hohen Inzidenz von gewalttätigem Eigentumsdiebstahl leben, eine Bestandsaufnahme dieser Möglichkeiten zur Abschreckung von Böswilligen machen sollte Verwendung ihres Passcodes:
Achten Sie in der Öffentlichkeit auf die physische Sicherheit Ihres iPhones. Diese Angriffe erfordern sowohl Ihren Passcode als auch den physischen Besitz Ihres iPhones. Viele von uns sind blasiert geworden, wenn es darum geht, unsere iPhones in der Öffentlichkeit zu zeigen, weil wir sie ständig benutzen und weil alle anderen auch ein Smartphone haben. Apple hat auch großartige Arbeit geleistet mit der Nachricht, dass ein iPhone für einen Dieb nutzlos ist, da ein Passcode seinen Inhalt schützt und eine Aktivierungssperre sicherstellt, dass es nicht intakt weiterverkauft werden kann – das macht uns wahrscheinlich weniger Sorgen um seine Sicherheit, selbst wenn es eine gibt Ärger und Kosten beim Austausch. Es gibt keine gute Möglichkeit, einen Dieb daran zu hindern, das iPhone aus Ihrer Hand zu reißen, wenn Sie es verwenden, aber wenn Sie es in einer Tasche oder Handtasche aufbewahren können, wenn es nicht verwendet wird, anstatt es zu halten oder auf dem Tisch liegen zu lassen vor Ihnen, das verringert die Wahrscheinlichkeit, dass ein Dieb Sie ins Visier nimmt. Verwenden Sie in der Öffentlichkeit immer Face ID oder Touch ID. Der Schlüssel zu diesen Angriffen ist der Zugriff auf den Passcode des Benutzers; Der einfache Weg, dies zu tun, besteht darin, Sie beim Betreten zu beobachten oder aufzuzeichnen. Wenn Sie sich ganz auf Face ID oder Touch ID verlassen, insbesondere in der Öffentlichkeit, kann niemand Ihren Passcode ohne Ihr Wissen stehlen. (Die Polizei glaubt, dass diejenigen, die beim Trinken unter Drogen stehen, ihr Gesicht oder ihre Finger benutzen, aber das enthüllt nicht ihre Passwörter.) Wenn Sie Face ID oder Touch ID aufgrund eines fehlgeleiteten Glaubens über die Sicherheit Ihrer biometrischen Informationen vermieden haben, I flehe dich an, es zu benutzen. Ihre Fingerabdruck-oder Gesichtsinformationen werden ausschließlich auf dem gespeichert Gerät in der Secure Enclave, die viel mehr ist unter fast allen Umständen sicherer als die Eingabe eines Passcodes. Wenn Sie einer der wenigen Personen sind, bei denen Face ID oder Touch ID schlecht funktionieren, verbergen Sie Ihren Passcode vor allen möglichen Zuschauern, so wie Sie es bei der Eingabe Ihrer PIN an einem Geldautomaten tun würden. Erwägen Sie einen stärkeren Passcode: Standardmäßig sind iPhone-Passcodes sechsstellig. Sie können auf vier Ziffern herabstufen, was keine gute Idee ist, aber Sie können auch auf einen längeren alphanumerischen Passcode upgraden. In dem Video empfiehlt Joanna Stern das, und es könnte es für jemanden schwieriger machen, heimlich zu beobachten, aber ich bin nicht überzeugt, dass die erhöhte Sicherheit den zusätzlichen Aufwand wert wäre. Jemand könnte Sie immer noch bei der Eingabe Ihres alphanumerischen Passcodes aufzeichnen, und je länger und schwieriger die Eingabe ist, desto mehr Zeit wird es dauern und desto mehr werden Sie sich darauf konzentrieren, ihn richtig einzugeben, wodurch Sie Ihre Umgebung weniger wahrnehmen. (Interessanterweise erhalten Sie, wenn Sie einen alphanumerischen Passcode mit nur Ziffern festlegen, immer noch einen Ziffernblock, um ihn einzugeben, während Sie die vollständige Tastatur verwenden müssen, wenn Sie nicht-numerische Zeichen hinzufügen.) Trotzdem kann ich den meisten Leuten nicht empfehlen gehen Sie über einen standardmäßigen sechsstelligen Passcode hinaus. Stellen Sie nur sicher, dass es nicht trivial einfach zu beobachten oder zu erraten ist, wie 111111 oder 123456.
Teilen Sie Ihren Passcode niemals mit anderen vertrauenswürdigen Familienmitgliedern. Wenn Sie jemandem keinen vollständigen Zugriff auf Ihr Bankkonto gewähren möchten, geben Sie ihm nicht Ihren Passcode. Wenn extreme Umstände es erfordern, dass Sie einer Person außerhalb dieses Kreises vorübergehend vertrauen, ändern Sie den Passcode in etwas Einfaches, an das sie sich erinnern wird – sogar 123456 – und ändern Sie ihn zurück, sobald sie Ihr iPhone zurückgeben. Verwenden Sie anstelle des iCloud-Schlüsselbunds einen Passwort-Manager eines Drittanbieters. Es schmerzt mich, diese Option zu empfehlen, da Apple die Schnittstelle zum iCloud-Schlüsselbund mit Einstellungen > Kennwörter und Systemeinstellungen/-einstellungen > Kennwörter ständig verbessert. Aber bis die Betriebssysteme den Zugriff auf die Passwörter des iCloud-Schlüsselbunds mit mehr als dem Passcode schützen, ist es einfach nicht sicher genug, sich auf den iCloud-Schlüsselbund zu verlassen. Im Gegensatz dazu sichern Passwort-Manager von Drittanbietern Ihre Passwörter mit einem separaten Passwort. Selbst wenn sie das biometrische Entsperren unterstützen und Sie es aktivieren, ist das Fallback das Kontopasswort des Passwortmanagers, nicht der Gerätepasscode.
Löschen Sie Fotos, die SSNs oder andere Identifikationsnummern enthalten. Es ist üblich, ein Foto Ihrer Sozialversicherungskarte, Ihres Führerscheins oder Reisepasses als Backup zu machen, nur für den Fall, dass Sie das Original verlieren. Das ist keine schlechte Idee, aber das Speichern solcher Bilder in Fotos macht sie anfällig für diese Angriffe. Speichern Sie sie stattdessen in Ihrem Passwort-Manager. Suchen Sie in Fotos nach SSN, TIN, EIN, Führerschein und Reisepass, zusammen mit Ihren tatsächlichen Sozialversicherungs-und anderen Identifikationsnummern. Suchen Sie auch nach Visa, MasterCard, Discover, American Express und den Namen anderer Kreditkarten, die Sie möglicherweise als Backup fotografiert haben. (Die Suche nach Text in Fotos funktioniert in macOS 13 Ventura und iOS 16. Für ältere Betriebssystemversionen versuchen Sie es mit der Fotos-Suche; siehe „Arbeiten mit Text in Bildern mit TextSniper und Fotosuche“, 23. August 2021.)
Meine Antwort
Ich lasse meine Zeit dort, wo mein Mund ist. Obwohl ich ein sehr geringes Risiko für diese Angriffe habe, die hauptsächlich auf Barbesucher in Großstädten und Menschen in Gegenden mit häufiger Straßenkriminalität abzielen, habe ich Schritte unternommen, um meine Gefährdung zu verringern.
Erstens , verlasse ich mich bereits wann immer möglich auf Face ID, und ich weiß noch besser, wer zusieht, während ich meinen Passcode eingebe, wenn Face ID fehlschlägt und ich gezwungen bin, meine Geheimziffern einzugeben. Es ist mir schon etwas peinlich, mein iPhone in der Öffentlichkeit zu tragen, wenn ich es nicht benutze, und ich werde es wahrscheinlich noch mehr in meiner Tasche tragen als früher.
Zweitens , habe ich beschlossen, alle meine im iCloud-Schlüsselbund gespeicherten Passwörter zu löschen. Auf meinem MacBook Air ging ich zu Systemeinstellungen > Passwörter, wählte alle aus und drückte Löschen. (Sie können dies auch im Einstellungsbereich für Passwörter von Safari tun.) Da ich den iCloud-Schlüsselbund nie ernsthaft verwendet habe, war dies keine Schwierigkeit – alles darin war im Wesentlichen zufällig. Bis vor kurzem habe ich LastPass verwendet, aber nach der LastPass-Verletzung bin ich zu 1Password gewechselt und habe alle meine LastPass-Passwörter importiert (siehe „LastPass teilt Details zur Sicherheitsverletzung“, 24. Dezember 2022). Ich hatte bereits viele Passwörter aus verschiedenen Importen und Tests im Laufe der Jahre in 1Password gespeichert, plus die Tresore, die ich mit Tonya und Tristan teile. Wann immer ich jetzt ein Passwort verwende, nehme ich mir ein paar Minuten Zeit, um Duplikate und damit verbundene Unordnung wie übrig gebliebene automatisch generierte Passwörter zu bereinigen.
Mir ist klar, dass diejenigen, die sich auf den iCloud-Schlüsselbund verlassen, ihre Passwörter nicht gerne löschen, aber Ich kann sagen, dass ich es einfach fand, von LastPass zu 1Password zu wechseln, und 1Password bietet Anweisungen zum Exportieren von iCloud-Schlüsselbundkennwörtern und Importieren in 1Password. Machen Sie den Export/Import-Tanz und leben Sie mit 1Password – oder einem beliebigen Passwort-Manager Ihrer Wahl – für ein oder zwei Wochen, um sicherzustellen, dass es für Sie funktioniert, bevor Sie alles aus dem iCloud-Schlüsselbund löschen. Wenn Sie sich entscheiden, in Zukunft zum iCloud-Schlüsselbund zurückzukehren, ist das auch möglich.
Drittens habe ich meine Fotobibliothek visuell durchsucht und Textsuchen nach Ausweisen und dergleichen verwendet, einige für den Import in 1Password exportiert und danach alles gelöscht. (Denken Sie daran, dass Fotos gelöschte Bilder etwa 30 Tage lang im Album „Zuletzt gelöscht“ speichert, bevor sie endgültig gelöscht werden. Um sie sofort zu entfernen, wählen Sie die Fotos in diesem Album aus und klicken Sie auf „Löschen“.) Ich habe meinen Führerschein, meinen Reisepass, meine Kreditkarten und Versicherungskarten gefunden , und andere Karten aus meiner Brieftasche. Achten Sie darauf, auf Alle anzeigen zu klicken, nachdem Sie eine Fotosuche durchgeführt haben, wenn es mehr als eine Handvoll Ergebnisse gibt. Ich habe sogar auf Karte gesucht und durch 500 Fotos gescrollt, um ein paar zu finden, die anderen Suchen entgangen sind. (Wer hätte gedacht, dass ich so viele Fotos mit Pappe gemacht habe?)
Ich habe kurz überlegt, diese sensiblen Bilder in das Album „Ausgeblendet“ in „Fotos“ zu verschieben und die neue iOS 16/Ventura-Option zu verwenden, um dieses Album mit Face ID oder Touch zu schützen AUSWEIS. Als ich mehrere Face ID-Fehler auf meinem iPhone testete, wurde ich leider schließlich zur Eingabe meines Passcodes aufgefordert, der das versteckte Album enthüllte. Es ist ein weiteres Beispiel dafür, wie der Passcode der Schlüssel zu Ihrem Königreich ist.
Während die Wahrscheinlichkeit, dass eine bestimmte Person Opfer dieser Art von Angriff wird, verschwindend gering ist und ich mir eigentlich keine Sorgen um mich selbst mache, die Die Berichterstattung des Wall Street Journal veranlasste mich, über meine breiteren Sicherheitsannahmen und mein Verhalten nachzudenken und sie zu bereinigen. Ich weiß den Anstoß zu schätzen und möchte Sie ermutigen, auch über Ihre Sicherheitslage nachzudenken.