Joanna Stern, Journalistin beim Wall Street Journal, hat zu einer Sicherheitslücke in iPhones recherchiert. Über mehrere Jahre häuften sich Berichte darüber, dass Diebesbanden iPhones klauten und die Besitzerinnen und Besitzer aus ihren Geräten und teilweise sogar der kompletten Apple-ID aussperren konnten. Die wertvollen iPhones waren dabei häufig nur Beigabe: Die Täter hatten es in erster Linie auf Banking-Apps abgesehen, mit denen sie die Konten der Betroffenen leeren konnten; in manchen Fällen kauften sie sich auch neue Sachen mit der "Tap to Pay"-Funktion von Apple Pay.

Einer dieser Diebe, Aaron Johnson, wurde nun zu einer längeren Haftstrafe verurteilt und Stern nutzte die Gelegenheit, ihn darüber auszufragen, wie er die Apple-Sicherheitsvorkehrungen umgehen konnte. Doch wie so oft sitzt die größte Schwachstelle eines iPhones vor dem Bildschirm.

Social Engineering und Trickserei

Technisch betrachtet sei Johnson zufolge der Passcode standardmäßig eine sechsstellige Zahlenkombination. Hat man ihn einmal herausgefunden, kann man damit die Face-ID löschen und neu einrichten und sogar das Passwort für die komplette Apple-ID ändern.

Das Problem ist, an die PIN zu kommen. Hier kommt ein gewisser Grad "Social Engineering" ins Spiel, denn am einfachsten ist es, die Zahlenkombination herauszufinden, wenn ein iPhone-Besitzer sie bereitwillig teilt. Johnson hatte in der Regel eine bestimmte Zielgruppe als Opfer im Sinn: Betrunkene Männer unter 30. Häufig sprach er seine Opfer in Bars an und bot Drogen an, in manchen Fällen gab er sich als Rapper aus und wollte sich angeblich über Social Media mit Leuten verbinden.

Sobald seine Opfer ihm ihr iPhone gaben, damit er seine Kontaktdaten eingeben konnte, konnte er den Code ändern, den er ihnen vorher einfach über die Schulter beim Eintippen abgeschaut hat. Entsperrten sie ihr iPhone mit Face-ID, konnte er in einem der unzähligen Menüs die Code-Eingabe aufrufen und den Code auf diese Weise merken. In vielen Fällen filmten außerdem Komplizen die Passocode-Eingabe.

Von da an geht es schnell: Zwischen fünf und zehn Sekunden, erklärt Johnson, dauert es bei einem routinierten Dieb, Passwort und Face-ID zu ändern und das iPhone für den ursprünglichen Besitzer zu sperren.

Vorsicht ist die Mutter der Porzellankiste

Es gibt allerdings Mittel und Wege, sich gegen solche Angriffe zu schützen:

• Geben Sie Ihr iPhone niemals Fremden in die Hand. Das klingt zwar selbstverständlich, allerdings kommt es häufig genug vor, dass man Nummern tauschen will, sie nicht diktieren (lassen) will und einfach das Handy dem neuen Kontakt gibt, damit er sie selbst eingeben kann. Mit iOS 17 hat Apple Airdrop um die Funktion "Name Drop" erweitert, mit der Sie Kontaktdaten einfach austauschen können, indem Sie zwei iPhones aneinander halten. Inzwischen funktioniert das auch mit Tickets im Wallet.

• Geben Sie Ihre PIN nie vor den Augen anderer ein. In der Regel müssen Sie Ihren Code nur in Ausnahmefällen eingeben, wenn Sie Face-ID oder Touch-ID verwenden. Wenn es einmal doch nicht anders geht, achten Sie darauf, dass niemand den Bildschirm Ihres iPhones sehen kann.

• Verwenden Sie eine komplexere PIN. Falls Sie die PIN doch regelmäßig eingeben müssen, lautet die Empfehlung, eine längere Zahlenfolge oder einen Code mit Sonderzeichen zu verwenden. Beides können Sie unter Einstellungen > Face-ID & Code > Code ändern einrichten.

• Schutz für gestohlene Geräte einrichten. Mit iOS 17.3 will Apple eine neue Funktion einführen, die genau für solche Fälle gedacht ist. Befinden Sie sich nicht zu Hause oder an einem anderen vertrauten Ort, fügt diese Funktion eine zusätzliche Sicherheitsstufe hinzu. Gespeicherte Passwörter können so nur mit Face-ID angezeigt werden, das Passwort für die Apple-ID und andere kritische Daten können nur nach einem Zeitintervall von einer Stunde geändert werden. iOS 17.3 befindet sich gerade in der Beta-Phase und dürfte Anfang 2024 final erscheinen. Standardmäßig ist die Funktion in der Beta deaktiviert und muss manuell eingeschaltet werden, ebenfalls unter Einstellungen > Face-ID & Code.

Das komplette Interview können Sie auf Englisch sich hier im Video ansehen:

(Macwelt)