iPhone-User weltweit erhalten seit Jahren beunruhigende Mitteilungen, die angeblich von Apple stammen und an sie persönlich adressiert sind: Mit Fake-System-Meldungen soll den Opfern weisgemacht werden, dass ihre Apple-ID gehackt wurde, respektive von fremden Geräten verwendet wird.
Im letzten Oktober berichtete watson über den Fall eines jungen Schweizers, dem an einem Open Air im Wallis das iPhone gestohlen worden war. Wochen später erhielt Lukas verdächtige Text-Nachrichten (auf sein neues iPhone) und Unbekannte versuchten, ihm das Apple-ID-Passwort zu entlocken.
Auffallend war, dass es sich um massgeschneiderte Phishing-Attacken handelte, auch als «Spear Phishing» bezeichnet.
Woher kannten die Angreifer den Namen und die E-Mail-Adresse des Opfers? Apple leitete eine interne Untersuchung ein. Jedoch ergaben diese Abklärungen keine neuen Erkenntnisse (oder dann wurden diese unter dem Deckel gehalten).
Doch nun gibt es eine plausible, aber keineswegs beruhigende Erklärung, wie es zu den gezielten Angriffen auf Lukas und andere Apple-Kunden kommen konnte ...
Es war eine unscheinbare Meldung, die die Nachrichtenagentur SDA am Donnerstag verbreitete: «Apple-Mitarbeiter in China wegen Datendiebstahls festgenommen», lautete der Titel.
China ist weit weg, und so verwundert es nicht, dass die Nachricht über mutmasslich kriminelle Mitarbeiter mit der tiefsten Prioritätsstufe (4) an die Medien übermittelt wurde.
Kommt hinzu, dass der vermeldete Datendiebstahl auf den ersten Blick nicht wirklich brisant erscheint, auch wenn es um eine Deliktsumme von mehr als sieben Millionen Dollar geht.
Den Verhafteten wird vorgeworfen, die Privatsphäre von Apple-Kunden verletzt zu haben, indem sie persönliche Daten entwendeten, um sie auf dem Schwarzmarkt zu verkaufen.
Die fehlbaren Mitarbeiter, die auf das interne IT-System von Apple zugriffen, konnten «nur» Informationen wie Namen, Telefonnummern und Apple-IDs von Kunden stehlen.
Die Passwörter selbst wurden nicht gestohlen. Und wir wissen auch nicht, welche Länder betroffen sind. Also alles halb so schlimm? Im Gegenteil, wie wir gleich sehen.
Letzten Oktober wies watson in einem Folgeartikel auf die kriminellen Geschäfte rund um gestohlene iPhones hin.
In dem Beitrag berichtete ich über die «China Connection», respektive fragwürdige Online-Dienste, bei denen man angeblich nur die IMEI-Nummer «gebrauchter» iPhones oder iPads angeben muss, um (gegen Bezahlung einer relativ kleinen Gebühr) die Kontaktdaten des registrierten Besitzers zu erhalten.
Damals äusserte ich mich skeptisch und bezweifelte, dass die sensiblen Kundendaten so einfach zu bekommen seien. Doch nun wurde dieses Vorgehen offensichtlich bestätigt.
Es bleibt festzuhalten, dass die Angaben nicht genügen, um den Diebstahlschutz aufzuheben. Wenn man den Besitzer kennt, sind drei Vorgehensweisen – legal und illegal – denkbar:
Der chinesischen Polizei zufolge waren den Festnahmen, die bereits am vergangenen Wochenende in vier Provinzen stattfanden, monatelange Ermittlungen vorausgegangen.
Die Verdächtigen sollen für die Weitergabe der Kundendaten bis zu 180 Yuan (25.50 Franken) verlangt haben. Insgesamt summiert sich der Schaden der gestohlenen und weiterverkauften Daten der Polizei zufolge auf mehr als 50 Millionen Yuan (das sind über 7,1 Millionen Franken).
Teilt man die Deliktsumme durch die erwähnte «Gebühr», waren es an die 280'000 Kontaktdaten von Apple-Usern, die an Dritte weitergegeben wurden. Und das war nur eine Bande.
Niemand kann zurzeit ausschliessen, dass weitere Kriminelle auf das Apple-interne IT-System zugreifen können. In der Agenturmeldung und ersten Medienberichten hiess es, es seien 20 Apple-Angestellte verhaften worden.
In anderen Berichten ist von Partnerfirmen («Distributors») die Rede. Demnach Personen, die bei lizenzierten Apple-Händlern beschäftigt waren. Aber auch dann stellt sich die unbequeme Frage, auf welche Daten Dritte Zugriff haben ...
Apple hat bislang keine Stellungnahme abgegeben. Konkret möchten wir vom iPhone-Hersteller wissen:
Ich kann nur wiederholen, was ich in den vergangenen Monaten wiederholt kritisiert habe: Der US-Konzern sollte offensiver kommunizieren, was die iCloud-Aktivierungssperre betrifft. «Security through obscurity» ist definitiv der falsche Ansatz.
iOS-Geräte wie das iPhone verfügen ab Werk über den relativ starken Diebstahlschutz, der beim ersten Einrichten des Systems standardmässig aktiviert wird. Genauer gesagt ist es eine raffinierte Sicherheitsvorkehrung, um das Gerät unbrauchbar zu machen, falls es verschwindet. Der rechtmässige Besitzer kann die so genannte Aktivierungssperre (Activation Lock) einschalten, so dass das Gerät nicht (mehr) verwendet werden kann.
Bis Anfang 2017 war es möglich, den Status der Aktivierungssperre auf einer Apple-Website abzufragen. So konnte man sich vor dem Kauf eines gebrauchten iPhones absichern.
Dann war das praktische Tool, das Occasions-Käufern viel Ärger ersparen konnte, plötzlich nicht mehr verfügbar.
Damit nicht genug, änderte Apple in aller Stille die Support-Dokumente und löschte die Empfehlungen zum Abfragen der Diebstahlsperre aus der Online-Hilfestellung.
Laut US-Blogs spielte das Online-Tool zur Abfrage der Aktivierungssperre eine zentrale Rolle bei einem Hack, mit dem sich gestohlene iOS-Geräte wieder in Betrieb nehmen liessen.