Im Internet profitieren Geschäftemacher und Kriminelle von technischem Unverständnis und Halbwissen und bieten sogenannte «iCloud Removal Services» an.
Aber lässt sich Apples Sicherheitsmechanismus, der gestohlene iOS-Geräte unbrauchbar macht, überhaupt austricksen?
Das Inhaltsverzeichnis:
1. Beschiss mit «Removal Services»
2. Zwei schlaue Hacker, viele Trittbrettfahrer
3. Eine heisse lauwarme Spur im Darknet
4. Verriet die SIM-Karte die Kontaktdaten?
5. Die China-Connection
6. IMEI und UDID
7. So funktioniert die Sperre
Wenig Zeit? Am Ende des Beitrags gibt's eine Zusammenfassung.
Dies ist der zweite Teil unserer Serie zum iPhone-Diebstahlschutz, «Aktivierungssperre» genannt. Im ersten Teil ging es um die beunruhigenden Erlebnisse von Lukas, dessen iPhone gestohlen wurde. Unbekannte versuchten, mit massgeschneiderten Phishing-Attacken sein Apple-Passwort zu stehlen. Woher kannten die Angreifer seinen Namen und die Mailadresse? Apple leitete eine Untersuchung ein. Allerdings ergaben die internen Abklärungen nichts Zählbares.
Was tun Diebe oder Hehler mit gestohlenen iPhones? Um den Wiederverkaufswert zu erhöhen und Hinweise auf die rechtmässigen Besitzer zu beseitigen, versuchen sie, die Aktivierungssperre («Activation Lock») aufzuheben.
Das Gleiche probieren Sparfüchse und Schlaumeier, die ein unglaublich günstiges Occasionsgerät erwerben und ebenfalls feststellen, dass sie es nicht aktivieren können.
Sicher ist: Bei über einer Milliarde verkaufter iOS-Geräte ist die Nachfrage nach solchen «Dienstleistungen» gewaltig. Hier kommt YouTube ins Spiel. Die Google-Tochter bietet eine gefühlte Trilliarde «Bypass Activation Lock»-Videos an. Das Problem: Fast alle wollen uns für blöd verkaufen.
Aber das war nicht immer so ...
2014 sorgten die Hacker AquaXetine und Merruk über die Jailbreak-Szene hinaus für Aufsehen. Die beiden hatten tatsächlich einen Weg gefunden, wie sich die iCloud-Aktivierungssperre mithilfe eines Fake-Apple-Servers umgehen liess und sie boten dazu auch gleich einen kostenlosen Service an. Bis heute hält sich die «DoulCi»-Methode hartnäckig im Web, obwohl sie nur während kurzer Zeit funktionierte.
Die Hacker nutzten Schwachstellen aus bei der Datenübertragung zwischen dem iOS-Gerät und Apples Aktivierungs-Server (albert.apple.com). So konnten sie gesperrten iPhones vorgaukeln, sie würden mit dem Apple-Server kommunizieren. Tatsächlich wurde der Datenverkehr durch eine «magische Linie» umgeleitet. Der DoulCi-Server spielte dann dem Gerät die Aktivierung vor ...
Die DoulCi-Methode war eine Sternstunde für iPhone-Hacker, auch wenn bei den ausgetricksten Geräten die Mobilfunk-Verbindung nicht funktionierte. Und Apple schaute nicht lange zu, sondern sicherte die Authentifizierung zusätzlich ab.
Unzählige Anbieter von Removal Services versuchen seither in die Fussstapfen von AquaXetine und Merruk zu treten. Mit zweifelhaftem Erfolg, respektive ohne zählbare Resultate, wie aus dieser lesenswerten Zusammenfassung hervorgeht.
Wenn es im Clear Web nicht klappen will mit dem Beseitigen von Apples Aktivierungssperre, gibt's vielleicht im Darknet Rat. Allerdings zeigt unsere Recherche die gleichen ernüchternden Ergebnisse: Viele sind auf der Suche, einige versuchen Ahnungslose übers Ohr zu hauen, niemand liefert.
Eine aktuelle Diskussion in einem der grössten deutschsprachigen Darknet-Foren bringt immerhin eine interessante Vorgehensweise an den Tag. Ein User schildert, dass er zwar keinen funktionierenden Trick gefunden habe, wie bei einem (offensichtlich gestohlenen) iPhone die Sperre beseitigt werden könne. Immerhin sei es ihm aber gelungen, die Apple-ID des Besitzers «auszulesen».
Demnach schaffte es der Darknet-User – wie bei der DoulCi-Methode – dem iOS-Gerät vorzugaukeln, es verbinde sich mit dem Apple-Server. Dadurch will er an die Mailadresse des Opfers (Apple-ID) gelangt sein. Und damit wiederum könne er eine personalisierte Phishing-Attacke vorbereiten ...
Wenn uns das nicht an den Fall von Lukas erinnert. Sind die Angreifer auf ähnlichem Weg an seinen Namen und die mit seiner Apple-ID verbundene E-Mail-Adresse gelangt?
Man kann es zumindest nicht ausschliessen.
Aufhorchen lässt ein weiterer Fall, über den das deutsche Online-Medium netzwelt.de im August berichtete. Nachdem einer Frau das iPhone 6S gestohlen wurde, erhielt sie via iMessage Phishing-Nachrichten – und fiel darauf herein. Ein fataler Fehler: Die Kriminellen griffen das von ihr preisgegebene Passwort ab und entfernten beim Gerät die Aktivierungssperre.
Wie bei Lukas stellte sich die Frage, wie die Angreifer an die Kontaktdaten der rechtmässigen Besitzerin gekommen waren? Auch hier konnte es nicht der Verloren-Modus sein: Die Betroffene habe darauf verzichtet, eine Nachricht mit Kontaktdaten und Finderlohn auf dem Sperrbildschirm zu hinterlassen, heisst es. Die beunruhigende Vermutung, die in dem Bericht allerdings nicht weiter ausgeführt oder durch konkrete Angaben belegt wird:
Wir lernen daraus: Nicht nur das Gerät, sondern auch die SIM-Karte muss man unbedingt mit einer PIN schützen. Apple erklärt in diesem Support-Dokument wie es geht.
Beim gestohlenen iPhone 6S von Lukas war die SIM-PIN aktiviert. Die Unbekannten konnte also nicht einfach Kontaktdaten von der mit dem Gerät erbeuteten SIM-Karte «auslesen».
Schliesslich gibt es noch eine andere Möglichkeit, wie die Kriminellen an die Kontaktdaten von Lukas gelangt sein könnten. Neben den fragwürdigen «iCloud Removal Services» tummeln sich im Web viele Anbieter, die Informationen zu den bei Apple registrierten Besitzern von iOS-Geräten versprechen. Gegen Bezahlung soll man die Kontaktdaten erhalten – denn nur über den persönlichen Kontakt zum Original-Besitzer lässt sich mit Glück, respektive dessen Passwort, die Sperre aufheben.
Wer den registrierten Besitzer eines iOS-Geräts herausfinden will, soll in der Regel die IMEI-Nummer und die UDID-Nummer des entsprechenden Apple-Geräts angeben. Damit lasse sich eine Datenbank-Abfrage in Auftrag geben. Im Web tummeln sich manche «iCloud Contact Information Services».
Liefern sie wirklich brauchbare Infos? Ich bin extrem skeptisch – aber irgendwie müssen die Urheber der Phishing-Attacke auf Lukas ja auch an seine Kontaktdaten gelangt sein ...
Alles, was man dafür angeben soll, ist die IMEI-Nummer. Die Anbieter solcher Services behaupten, sie könnten auf eine Apple-Datenbank zugreifen und die Informationen abgreifen. Allerdings scheint dies in sehr vielen Fällen nicht zu klappen. Insbesondere bei als gestohlen/verloren gemeldeten Geräten gibt es unzählige Rückmeldungen von enttäuschten Usern.
Die «chinesischen» Angebote seien immer sehr verdächtig, gibt der Schweizer Sicherheitsexperte Marc Ruef zu bedenken. «In den meisten oder gar allen Fällen wird es sich um Scam handeln. Das würde ich nun definitiv nicht nutzen wollen.»
Offen bleibt auch die Frage, welche Rolle die Mobilfunk-Provider in Zusammenhang mit den Auskünften spielen. Werden die Kundendaten vielleicht über ihre Computer «geleakt»?
Unsere Recherchen deuten jedenfalls nicht darauf hin. Apple setzt bekanntlich alles daran, die Daten der eigenen Kunden zu schützen. Da erscheint es völlig undenkbar, dass Mitarbeiter von Telekom-Unternehmen darauf Zugriff hätten.
Jedes Mobilgerät hat eine eindeutige Seriennummer, die sogenannte IMEI-Nummer (International Mobile Equipment Identity). Die 15-stellige Zahl ist erforderlich, damit sich das Gerät in ein Mobilfunknetz (GSM/UMTS) einwählen kann.
Die IMEI-Nummer ist auf dem Gerät selbst zu finden und lässt sich via System-Einstellungen abrufen.
Anhand der IMEI-Nummer identifizieren Mobilfunk-Provider die Mobilgeräte beim Verbinden mit dem eigenen Netzwerk. Wenn ein Gerät als gestohlen/verloren gemeldet wird, landet es auf der Schwarzen Liste des Unternehmens und auch auf einer internationalen «Blacklist». So kann auch mit neuer SIM-Karte die Nutzung von Mobilfunknetzen verweigert werden.
Wer ein Occasions-Smartphone kauft, tut selber gut daran, sich zu überzeugen, dass das Gerät nicht «black listed» ist.
Aber Vorsicht! Auch in diesem Bereich sollte man sich nicht auf alle Auskünfte von (kostenlosen) Online-Diensten verlassen.
Als Diebstahlschutz taugt die IMEI-Nummer nicht wirklich. Denn wie die bekannteste Computer-Hardware-Kennnummer, die MAC-Adresse, kann auch die IMEI-Nummer relativ einfach manipuliert, das heisst geändert, werden.
Apples Aktivierungssperre bietet hingegen einen wirksamen Schutz vor Missbrauch und Fälschungen, weil sie die Apple-ID des rechtmässigen Besitzers auch mit der eindeutigen Geräte-Kennnummer UDID verknüpft und die Informationen sicher (und ausschliesslich) auf eigenen Servern ablegt.
Apple hat die Aktivierungssperre (auf Englisch: «Activation Lock») 2014 mit iOS 7 eingeführt. Sie verbirgt sich hinter der System-Funktion «Mein iPhone suchen» und ist seit iOS 8 (2015) bei jedem Gerät standardmässig eingeschaltet.
Wenn man ein iOS-Gerät in Betrieb nimmt und dabei die Funktion «Mein iPhone suchen» aktiviert ist, übermittelt das Gerät die Identität (Apple-ID) des Besitzers an den Apple-Server. In einer geschützten Datenbank wird die Identität mit Hardware-Kennnummern (IMEI und UDID) verknüpft abgelegt.
Ab diesem Zeitpunkt ist das User-Passwort erforderlich:
Die System-Einstellung «Mein iPhone suchen» ist nicht zu verwechseln mit der gleichnamigen App iPhone-Suche. Diese kann verwendet werden, um ein Gerät zu orten, um es in den Verloren-Modus zu setzen oder alle Daten zu löschen.
Der Diebstahlschutz funktioniert auch, wenn das vermisste iPhone ausgeschaltet wurde: Als registrierter Besitzer kann man die Einstellungen über die Website iCloud.com anpassen.
Sobald das Gerät in Betrieb geht, versucht es Kontakt zum Apple-Server aufzunehmen. Dann kann man sich nur mit dem bei Apple gespeicherten Passwort anmelden. Klappt dies nicht, zeigt der Bildschirm die aktivierte Aktivierungssperre an.
Die Bezeichnung «Mein iPhone suchen» sorgt für Verwirrung, weil damit auch das iPad, der iPod Touch und weitere Apple-Geräte geschützt (und aufgespürt) werden können.
Zugegeben, die Überschrift klingt reisserisch. Dafür klappt es bei den folgenden drei Vorgehensweisen zu 100 Prozent:
Apple will die unter Punkt 1 geschilderte Vorgehensweise nicht offiziell bestätigen. Sie ist auch nicht in den öffentlichen Support-Dokumenten auf der Unternehmens-Website beschrieben. Die Informationen werden höchstens angetönt. Dafür gibt es andere Quellen, die auf Schilderungen von (ehemaligen) Mitarbeitern beruhen und in den zentralen Punkten übereinstimmen.
Bleibt anzumerken, dass viele Betrüger davon profitieren, dass Apple relativ zurückhaltend über die Aktivierungssperre informiert. Ausserdem gab es in der Vergangenheit mehrmals Sicherheitsbedenken und technische Probleme rund um den Diebstahlschutz. Aktuelles Beispiel: Fabrikneue iPhones können laut US-Medienberichten nicht in Betrieb genommen werden, weil sie mit einer fremden Apple-ID verknüpft sind.
Wünschenswert wäre beispielsweise ein FAQ, das fortlaufend alle brennenden Fragen und Antworten zur Sperre in allgemein verständlichen Formulierungen zusammenfasst.
Bleibt die ketzerische Frage: Hat Apple überhaupt ein (wirtschaftliches) Interesse an 100-prozentiger Transparenz rund um die Aktivierungssperre und die Geschäfte im Web?
Vorläufig gibt's vom iPhone-Hersteller das:
Abschliessend gilt an den gesunden Menschenverstand zu appellieren. Sehr viele «Informationen» im Internet lassen bei kritischer Prüfung Schwindel oder Schlimmeres erahnen: