Digital
Analyse

iCloud-Aktivierungssperre: Apple-Angestellte in China verkauften Kundendaten

A woman using a phone walks past Apple's logo near its retail outlet in Beijing Monday, Dec. 23, 2013. Apple and China Mobile announced a long-anticipated agreement Monday to bring the iPhone to  ...
Eine Apple-Kundin in Peking. Kriminelle Angestellte haben Kundendaten weiterverkauft.Bild: AP
Analyse

Warum der Datenklau bei Apple (auch) iPhone-User in der Schweiz betrifft

Apples iCloud-Aktivierungssperre verhindert wirksam, dass gestohlene Geräte erneut in Betrieb genommen werden. Doch nun zeigen Verhaftungen in China, wie Kriminelle die Sicherheitsfunktion aushebeln können.
10.06.2017, 10:0123.01.2024, 10:12
Mehr «Digital»

iPhone-User weltweit erhalten seit Jahren beunruhigende Mitteilungen, die angeblich von Apple stammen und an sie persönlich adressiert sind: Mit Fake-System-Meldungen soll den Opfern weisgemacht werden, dass ihre Apple-ID gehackt wurde, respektive von fremden Geräten verwendet wird.

Bild
screenshot: imgur

Im letzten Oktober berichtete watson über den Fall eines jungen Schweizers, dem an einem Open Air im Wallis das iPhone gestohlen worden war. Wochen später erhielt Lukas verdächtige Text-Nachrichten (auf sein neues iPhone) und Unbekannte versuchten, ihm das Apple-ID-Passwort zu entlocken.

Auffallend war, dass es sich um massgeschneiderte Phishing-Attacken handelte, auch als «Spear Phishing» bezeichnet.

Woher kannten die Angreifer den Namen und die E-Mail-Adresse des Opfers? Apple leitete eine interne Untersuchung ein. Jedoch ergaben diese Abklärungen keine neuen Erkenntnisse (oder dann wurden diese unter dem Deckel gehalten).

Doch nun gibt es eine plausible, aber keineswegs beruhigende Erklärung, wie es zu den gezielten Angriffen auf Lukas und andere Apple-Kunden kommen konnte ...

Die China-Connection

Es war eine unscheinbare Meldung, die die Nachrichtenagentur SDA am Donnerstag verbreitete: «Apple-Mitarbeiter in China wegen Datendiebstahls festgenommen», lautete der Titel.

China ist weit weg, und so verwundert es nicht, dass die Nachricht über mutmasslich kriminelle Mitarbeiter mit der tiefsten Prioritätsstufe (4) an die Medien übermittelt wurde.

Kommt hinzu, dass der vermeldete Datendiebstahl auf den ersten Blick nicht wirklich brisant erscheint, auch wenn es um eine Deliktsumme von mehr als sieben Millionen Dollar geht.

Weil sich viele am iCloud-Diebstahlschutz die Zähne ausbeissen, florieren dubiose Dienstleistungen im Web.

Den Verhafteten wird vorgeworfen, die Privatsphäre von Apple-Kunden verletzt zu haben, indem sie persönliche Daten entwendeten, um sie auf dem Schwarzmarkt zu verkaufen.

Die fehlbaren Mitarbeiter, die auf das interne IT-System von Apple zugriffen, konnten «nur» Informationen wie Namen, Telefonnummern und Apple-IDs von Kunden stehlen.

Die Passwörter selbst wurden nicht gestohlen. Und wir wissen auch nicht, welche Länder betroffen sind. Also alles halb so schlimm? Im Gegenteil, wie wir gleich sehen.

Letzten Oktober wies watson in einem Folgeartikel auf die kriminellen Geschäfte rund um gestohlene iPhones hin.

«Neben den fragwürdigen ‹iCloud Removal Services› tummeln sich im Web viele Anbieter, die Informationen zu den bei Apple registrierten Besitzern von iOS-Geräten versprechen. Gegen Bezahlung soll man die Kontaktdaten erhalten – denn nur über den persönlichen Kontakt zum Original-Besitzer lässt sich mit Glück, respektive dessen Passwort, die Sperre aufheben.»

In dem Beitrag berichtete ich über die «China Connection», respektive fragwürdige Online-Dienste, bei denen man angeblich nur die IMEI-Nummer «gebrauchter» iPhones oder iPads angeben muss, um (gegen Bezahlung einer relativ kleinen Gebühr) die Kontaktdaten des registrierten Besitzers zu erhalten.

Bild

Damals äusserte ich mich skeptisch und bezweifelte, dass die sensiblen Kundendaten so einfach zu bekommen seien. Doch nun wurde dieses Vorgehen offensichtlich bestätigt.

Es bleibt festzuhalten, dass die Angaben nicht genügen, um den Diebstahlschutz aufzuheben. Wenn man den Besitzer kennt, sind drei Vorgehensweisen – legal und illegal – denkbar:

  • Man kontaktiert die Person und bittet sie, die Geräte-Sperre (über die iCloud-Website) zu deaktivieren.
  • Man kontaktiert den Apple Support, wobei die Erfolgsaussichten laut vielen Schilderungen sehr schlecht sind.
  • Man versucht, das Passwort durch Phishing zu ergaunern oder durch Social Engineering zu beschaffen, um dann die Aktivierungssperre auf eigene Fast auszuschalten.

Lukratives Business

Der chinesischen Polizei zufolge waren den Festnahmen, die bereits am vergangenen Wochenende in vier Provinzen stattfanden, monatelange Ermittlungen vorausgegangen.

Die Verdächtigen sollen für die Weitergabe der Kundendaten bis zu 180 Yuan (25.50 Franken) verlangt haben. Insgesamt summiert sich der Schaden der gestohlenen und weiterverkauften Daten der Polizei zufolge auf mehr als 50 Millionen Yuan (das sind über 7,1 Millionen Franken).

Teilt man die Deliktsumme durch die erwähnte «Gebühr», waren es an die 280'000 Kontaktdaten von Apple-Usern, die an Dritte weitergegeben wurden. Und das war nur eine Bande.

Bild
screenshot: watson

Niemand kann zurzeit ausschliessen, dass weitere Kriminelle auf das Apple-interne IT-System zugreifen können. In der Agenturmeldung und ersten Medienberichten hiess es, es seien 20 Apple-Angestellte verhaften worden.

In anderen Berichten ist von Partnerfirmen («Distributors») die Rede. Demnach Personen, die bei lizenzierten Apple-Händlern beschäftigt waren. Aber auch dann stellt sich die unbequeme Frage, auf welche Daten Dritte Zugriff haben ...

Apple hat bislang keine Stellungnahme abgegeben. Konkret möchten wir vom iPhone-Hersteller wissen:

  • Waren Apple-Angestellte beteiligt?
  • Worauf hatten die Verhafteten Zugriff?
  • Wurden Kundendaten von Apple-Usern weltweit gestohlen bzw. verkauft?
  • Was rät Apple den Usern?

Ich kann nur wiederholen, was ich in den vergangenen Monaten wiederholt kritisiert habe: Der US-Konzern sollte offensiver kommunizieren, was die iCloud-Aktivierungssperre betrifft. «Security through obscurity» ist definitiv der falsche Ansatz.

Wirksamer Schutz, aber ...

iOS-Geräte wie das iPhone verfügen ab Werk über den relativ starken Diebstahlschutz, der beim ersten Einrichten des Systems standardmässig aktiviert wird. Genauer gesagt ist es eine raffinierte Sicherheitsvorkehrung, um das Gerät unbrauchbar zu machen, falls es verschwindet. Der rechtmässige Besitzer kann die so genannte Aktivierungssperre (Activation Lock) einschalten, so dass das Gerät nicht (mehr) verwendet werden kann.

Bis Anfang 2017 war es möglich, den Status der Aktivierungssperre auf einer Apple-Website abzufragen. So konnte man sich vor dem Kauf eines gebrauchten iPhones absichern.

Dann war das praktische Tool, das Occasions-Käufern viel Ärger ersparen konnte, plötzlich nicht mehr verfügbar.

Damit nicht genug, änderte Apple in aller Stille die Support-Dokumente und löschte die Empfehlungen zum Abfragen der Diebstahlsperre aus der Online-Hilfestellung.

Laut US-Blogs spielte das Online-Tool zur Abfrage der Aktivierungssperre eine zentrale Rolle bei einem Hack, mit dem sich gestohlene iOS-Geräte wieder in Betrieb nehmen liessen.

Gebrauchte iOS-Geräte kaufen
Wer ein Occasions-iPhone oder ein gebrauchtes iPad kauft, hat es schwerer als auch schon. Im Prinzip muss man Zugriff auf das eingeschaltete Gerät haben, um zu kontrollieren, dass keine Aktivierungssperre besteht. Wer übers Internet kauft, sollte vom Verkäufer ein Beweisfoto verlangen, das zeigt, dass das Gerät aktiviert werden kann. Wobei dieses Vorgehen natürlich keine absolute Sicherheit bringt. Rechtmässige Verkäufer sollten ihrerseits sicherstellen, dass beim Verkaufsobjekt die Aktivierungssperre aufgehoben wurde. Wer auf einen kriminellen oder nachlässigen Verkäufer hereinfällt und sich direkt an Apple wendet, erhält die Auskunft, man könne die iCloud-Sicherheitsfunktion nicht aufheben. Erforderlich seien die Apple-ID (Mailadresse) und das Passwort, um die Aktivierungssperre direkt oder über icloud.com auszuschalten.

Das könnte dich auch interessieren:

Viren, Würmer, Trojaner – die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
4 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
4
Platz da, Mario! Princess Peach lässt es in ihrem Solo-Abenteuer ordentlich krachen
Princess Peach muss in ihrem Solo-Abenteuer für die Nintendo Switch in zahlreiche Rollen schlüpfen, um diverse Showbühnen vor bösen Wesen zu befreien. Auch wenn das Game viel zu schnell durch ist, wartet eine innige Spielspass-Explosion auf euch.

Princess Peach hat es nicht einfach: Immer wieder wird sie von Superschurke Bowser entführt und muss darauf warten, dass Super Mario sie befreit und zurück in ihr Schloss geleitet.

Zur Story