Digital

Eine Apple-Kundin in Peking. Kriminelle Angestellte haben Kundendaten weiterverkauft. Bild: AP

Warum der Datenklau bei Apple (auch) iPhone-User in der Schweiz betrifft

Apples iCloud-Aktivierungssperre verhindert wirksam, dass gestohlene Geräte erneut in Betrieb genommen werden. Doch nun zeigen Verhaftungen in China, wie Kriminelle die Sicherheitsfunktion aushebeln können.

10.06.17, 10:01 10.06.17, 21:26

iPhone-User weltweit erhalten seit Jahren beunruhigende Mitteilungen, die angeblich von Apple stammen und an sie persönlich adressiert sind: Mit Fake-System-Meldungen soll den Opfern weisgemacht werden, dass ihre Apple-ID gehackt wurde, respektive von fremden Geräten verwendet wird.

screenshot: imgur

Im letzten Oktober berichtete watson über den Fall eines jungen Schweizers, dem an einem Open Air im Wallis das iPhone gestohlen worden war. Wochen später erhielt Lukas verdächtige Text-Nachrichten (auf sein neues iPhone) und Unbekannte versuchten, ihm das Apple-ID-Passwort zu entlocken.

Auffallend war, dass es sich um massgeschneiderte Phishing-Attacken handelte, auch als «Spear Phishing» bezeichnet.

Woher kannten die Angreifer den Namen und die E-Mail-Adresse des Opfers? Apple leitete eine interne Untersuchung ein. Jedoch ergaben diese Abklärungen keine neuen Erkenntnisse (oder dann wurden diese unter dem Deckel gehalten).

Doch nun gibt es eine plausible, aber keineswegs beruhigende Erklärung, wie es zu den gezielten Angriffen auf Lukas und andere Apple-Kunden kommen konnte ...

Die China Connection

Es war eine unscheinbare Meldung, die die Nachrichtenagentur SDA am Donnerstag verbreitete: «Apple-Mitarbeiter in China wegen Datendiebstahls festgenommen», lautete der Titel.

China ist weit weg, und so verwundert es nicht, dass die Nachricht über mutmasslich kriminelle Mitarbeiter mit der tiefsten Prioritätsstufe (4) an die Medien übermittelt wurde.

Kommt hinzu, dass der vermeldete Datendiebstahl auf den ersten Blick nicht wirklich brisant erscheint, auch wenn es um eine Deliktsumme von mehr als sieben Millionen Dollar geht.

Weil sich viele am iCloud-Diebstahlschutz die Zähne ausbeissen, florieren dubiose Dienstleistungen im Web.

Den Verhafteten wird vorgeworfen, die Privatsphäre von Apple-Kunden verletzt zu haben, indem sie persönliche Daten entwendeten, um sie auf dem Schwarzmarkt zu verkaufen.

Die fehlbaren Mitarbeiter, die auf das interne IT-System von Apple zugriffen, konnten «nur» Informationen wie Namen, Telefonnummern und Apple-IDs von Kunden stehlen.

Die Passwörter selbst wurden nicht gestohlen. Und wir wissen auch nicht, welche Länder betroffen sind. Also alles halb so schlimm? Im Gegenteil, wie wir gleich sehen. 

Letzten Oktober wies watson in einem Folgeartikel auf die kriminellen Geschäfte rund um gestohlene iPhones hin.

«Neben den fragwürdigen ‹iCloud Removal Services› tummeln sich im Web viele Anbieter, die Informationen zu den bei Apple registrierten Besitzern von iOS-Geräten versprechen. Gegen Bezahlung soll man die Kontaktdaten erhalten – denn nur über den persönlichen Kontakt zum Original-Besitzer lässt sich mit Glück, respektive dessen Passwort, die Sperre aufheben.»

In dem Beitrag berichtete ich über die «China Connection», respektive fragwürdige Online-Dienste, bei denen man angeblich nur die IMEI-Nummer «gebrauchter» iPhones oder iPads angeben muss, um (gegen Bezahlung einer relativ kleinen Gebühr) die Kontaktdaten des registrierten Besitzers zu erhalten.

Damals äusserte ich mich skeptisch und bezweifelte, dass die sensiblen Kundendaten so einfach zu bekommen seien. Doch nun wurde dieses Vorgehen offensichtlich bestätigt.

Es bleibt festzuhalten, dass die Angaben nicht genügen, um den Diebstahlschutz aufzuheben. Wenn man den Besitzer kennt, sind drei Vorgehensweisen – legal und illegal – denkbar:

Lukratives Business

Der chinesischen Polizei zufolge waren den Festnahmen, die bereits am vergangenen Wochenende in vier Provinzen stattfanden, monatelange Ermittlungen vorausgegangen.

Die Verdächtigen sollen für die Weitergabe der Kundendaten bis zu 180 Yuan (25.50 Franken) verlangt haben. Insgesamt summiert sich der Schaden der gestohlenen und weiterverkauften Daten der Polizei zufolge auf mehr als 50 Millionen Yuan (das sind über 7,1 Millionen Franken).

Teilt man die Deliktsumme durch die erwähnte «Gebühr», waren es an die 280'000 Kontaktdaten von Apple-Usern, die an Dritte weitergegeben wurden. Und das war nur eine Bande.

screenshot: watson

Niemand kann zurzeit ausschliessen, dass weitere Kriminelle auf das Apple-interne IT-System zugreifen können. In der Agenturmeldung und ersten Medienberichten hiess es, es seien 20 Apple-Angestellte verhaften worden.

In anderen Berichten ist von Partnerfirmen («Distributors») die Rede. Demnach Personen, die bei lizenzierten Apple-Händlern beschäftigt waren. Aber auch dann stellt sich die unbequeme Frage, auf welche Daten Dritte Zugriff haben ...

Apple hat bislang keine Stellungnahme abgegeben. Konkret möchten wir vom iPhone-Hersteller wissen:

Ich kann nur wiederholen, was ich in den vergangenen Monaten wiederholt kritisiert habe: Der US-Konzern sollte offensiver kommunizieren, was die iCloud-Aktivierungssperre betrifft. «Security through obscurity» ist definitiv der falsche Ansatz.

Wirksamer Schutz, aber ...

iOS-Geräte wie das iPhone verfügen ab Werk über den relativ starken Diebstahlschutz, der beim ersten Einrichten des Systems standardmässig aktiviert wird. Genauer gesagt ist es eine raffinierte Sicherheitsvorkehrung, um das Gerät unbrauchbar zu machen, falls es verschwindet. Der rechtmässige Besitzer kann die so genannte Aktivierungssperre (Activation Lock) einschalten, so dass das Gerät nicht (mehr) verwendet werden kann.

Bis Anfang 2017 war es möglich, den Status der Aktivierungssperre auf einer Apple-Website abzufragen. So konnte man sich vor dem Kauf eines gebrauchten iPhones absichern.

Dann war das praktische Tool, das Occasions-Käufern viel Ärger ersparen konnte, plötzlich nicht mehr verfügbar.

Damit nicht genug, änderte Apple in aller Stille die Support-Dokumente und löschte die Empfehlungen zum Abfragen der Diebstahlsperre aus der Online-Hilfestellung.

Laut US-Blogs spielte das Online-Tool zur Abfrage der Aktivierungssperre eine zentrale Rolle bei einem Hack, mit dem sich gestohlene iOS-Geräte wieder in Betrieb nehmen liessen.

Gebrauchte iOS-Geräte kaufen

Wer ein Occasions-iPhone oder ein gebrauchtes iPad kauft, hat es schwerer als auch schon. Im Prinzip muss man Zugriff auf das eingeschaltete Gerät haben, um zu kontrollieren, dass keine Aktivierungssperre besteht. Wer übers Internet kauft, sollte vom Verkäufer ein Beweisfoto verlangen, das zeigt, dass das Gerät aktiviert werden kann. Wobei dieses Vorgehen natürlich keine absolute Sicherheit bringt. Rechtmässige Verkäufer sollten ihrerseits sicherstellen, dass beim Verkaufsobjekt die Aktivierungssperre aufgehoben wurde. Wer auf einen kriminellen oder nachlässigen Verkäufer hereinfällt und sich direkt an Apple wendet, erhält die Auskunft, man könne die iCloud-Sicherheitsfunktion nicht aufheben. Erforderlich seien die Apple-ID (Mailadresse) und das Passwort, um die Aktivierungssperre direkt oder über icloud.com auszuschalten.

Das könnte dich auch interessieren:

Mehr Storys zu iPhone-Dieben und der Aktivierungssperre

Apple erschwert den Kauf/Verkauf von gebrauchten iPhones – aus Gründen 😡

Warum der Datenklau bei Apple (auch) iPhone-User in der Schweiz betrifft

Liebe Apple-Diebe, seid nicht dumm – sonst geht's euch wie diesen Jungs

Wie Lukas das iPhone gestohlen wurde und er in Teufels Küche kam

Das dreckige Business mit gesperrten iPhones – und wie man die «Activation Lock» aufhebt

Alle Artikel anzeigen

Viren, Würmer, Trojaner – die bösartigsten Computer-Attacken aller Zeiten

Abonniere unseren NewsletterNewsletter-Abo
5
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Vadda 12.06.2017 15:40
    Highlight Bildlegende des letzten Bildes verstehe ich nicht.
    "... aus Gründen"...?
    0 0 Melden
  • DailyGuy 10.06.2017 18:54
    Highlight Option 3 bei den Vorgehensweisen ist nicht möglich. Ist 2F Authentication aktiviert, muss man den Sichheitscode, welcher auf einem Gerät generiert wird, auch beim Webbrowser eingeben, wenn man auf die Apple ID zugreifen will.
    1 1 Melden
  • URSS 10.06.2017 17:48
    Highlight Ist das mühsam... Wenn ich denn ein Iphon hätte.... Habe ich... darum siehe oben am Anfang.
    0 3 Melden
  • Luzz 10.06.2017 13:11
    Highlight Mir wurde auch am Gampel Open-Air 2015 das iPhone geklaut und einige Monate später erhielt ich Phishing-iMessages auf meine Apple-ID... 😑 Wenn sie schon die Kontaktdaten haben, hätten diese Idioten besser probiert, die Geräte an die ursprünglichen Besitzer zurückzuverkaufen, statt mit billigen Tricks zu versuchen, das Passwort zu erhalten... 🙄😅
    13 3 Melden
  • urs_b 10.06.2017 10:26
    Highlight Bei der Zwei-Faktor-Authentifizierung ist es Angreifern selbst bei Kenntnis der Anmeldedaten nicht möglich, einen Account zu übernehmen. Daher ->Wer seine Apple-ID nicht schützt, ist selbst schuld.
    64 7 Melden

Es liegt nicht an dir, WhatsApp war knapp eine Stunde down

WhatsApp war am Freitagmorgen in der Schweiz, grossen Teilen Europas und Asiens offline. 

Auf Twitter trafen im Sekundentakt Meldungen ein, dass WhatsApp in zahlreichen Regionen nicht nutzbar ist.

WhatsApp gehört wie Instagram zu Mark Zuckerbergs Facebook-Konzern.

(oli)

Artikel lesen