Passcode-Sicherheitslücke? Schwachstelle Wiederherstellungsschlüssel?

[lisanet]

Kommt da eine e-mail auf die Apple-ID und das war's?! Das wäre ja der Gau.

was soll denn da ein GAU sein?

Damit du das machen kannst, musst du dich dich in deinen Account einloggen. Dazu brauchst du das PW und kriegst dann eine 2FA.

Ein Dieb hat doch dein PW nicht und kann es auch nicht ändern, da du doch den Bildschiremcode hast.

Ist das echt alles so komplex? Nur weil man gerade erkennt, dass eine Wiederherstellung / Account-Änderung auf einem entsperrten Gerät ohne weitere Sicherheitsabfrage nur an der Kenntnis eines einzigen Passwortes (hier iPhone-PIN) liegt, muss man doch nicht gleich in Paranoia verfallen.

Das ist was ganz normales, wenn man PW / PIN verwendet und die einem Dritten bekannt werden. Ist auf macOS genau so der Fall. Und auch bei jedem anderen Account. Das einzig sinnvolle ist dann dabei eine 2FA, die so implementiert ist, dass sie eben nicht durch das kompromitierte Gerät / Account erfolgen kann. Aber das wird halt umständlich. Und viele User, auch hier im Forum, ist sowas zu viel. Die haben ja schon keinen Bock auf 2FA an sich.

 

[lunchbreak]

nein ich kann deren Apple-ID an MEINEM iPhone ändern, nicht an deren, TROTZ Sperre in Bildschirmzeit

Das ist übel! Und das hat noch keiner außer Dir rausgefunden!

Das muß man sich mal vorstellen!
Am eigenen iPhone ist der eigene Account geschützt/gegraut (Ändern des Apple-ID-PWs nicht möglich ohne Kenntnis des Bildschirmzeit-Codes).
Am gleichen, eigenen iPhone aber ist ein Ändern des Apple-ID-PWs der Kinder möglich, trotz eingerichtetem Bildschirmzeit-Code!

 

[lisanet]

Das ist übel! Und das hat noch keiner außer Dir rausgefunden!

Das muß man sich mal vorstellen!
Am eigenen iPhone ist der eigene Account geschützt/gegraut (Ändern des Apple-ID-PWs nicht möglich ohne Kenntnis des Bildschirmzeit-Codes).
Am gleichen, eigenen iPhone aber ist ein Ändern des Apple-ID-PWs der Kinder möglich, trotz eingerichtetem Bildschirmzeit-Code!

und hat derjenige schon mal die Systemeinstellungen beendet, das iPhone gesperrt / entsperrt und dann erst versucht?

@martincho Schon mal getan? Ergebnis?

Der Bidlschirmcode mit Sperre wird erst dann aktiv, wenn du die Einstellungen verlässt. Solange du nach dem Aktivieren drin bleibst, ist das nicht aktiv. Ich habe keine Kinder und kann es nicht prüfen.

Edit:

Ist denn überhaupt "Bildschirmzeit für Familie einrichten" eingerichtet / angepasst worden?

 

[Cassiuzz]

Gegen den 10.000-Versucher-Angriffsvektor hast du entweder nur den Schutz, wenn Apple das irgendwie verhindert / verzögert / unterbindet (wissen wir alle nicht) oder du bemerkst den Diebstahl frühzeitig und sperrst / löscht das iPhone via icloud.com

Was ich absolut nicht verstehe:
Wie kann es sein, dass Angreifer 10.000 x bruteforcen können und das Systen das zulässt???
Warum wird nach 10 missglückten Versuchen das Gerät nicht einfach gesperrt?
Oder übersehe ich da ein technisches Detail bzw. eine Sicherheitslücke, die Apple nicht schließen kann oder will?

 

[lisanet]

Wie kann es sein, dass Angreifer 10.000 x bruteforcen können und das Systen das zulässt???

oh man... das wird schwer hier (und langsam nervig)

ich habe doch geschrieben:

wenn Apple das irgendwie verhindert / verzögert / unterbindet (wissen wir alle nicht)

Damit wir es wissen, benötigen wir einen Freiwilligen, der 11 mal oder öfters einen falschen Bidlschirmcode eingibt und nicht eine Empörungswelle über nicht bekannte Dinge.

Also @Cassiuzz probiere es bitte für uns aus, nach wievielen Falscheingaben des Bildschirmcodes, das iPhone vollkommen gesperrt oder gelöscht wird. Das Forum wird es dir danken.

 

[lisanet]

@Cassiuzz du musst nichts testen.

Und auch niemand anderes muss sich weiter empören. Ich habe mal einfach eine Suchmaschine bemüht und gefragt "how many times can one enter on ios a wrong screen time code"

Ergebnis:

Nach 6x Falscheingabe "One thing you should know is that if you keep attempting to unlock the Screen Time feature and enter the incorrect passcode 6 times, then the screen will automatically lockout for one minute."

Nach 10x Falscheingabe "When you forgot your screen time password, you still need to wait for 60 minutes(1 hour) to try again. "

Wer Lust hat, kann es ja verifizieren.

Bliebe es bei der max 1 Stunde, dann dauern 10.000 Versuche rund 41 Tage. Genug Zeit, den Diebstahl zu bemerken und Maßnahmen zu ergreifen.

 

[martincho]

und hat derjenige schon mal die Systemeinstellungen beendet, das iPhone gesperrt / entsperrt und dann erst versucht?

@martincho Schon mal getan? Ergebnis?

Der Bidlschirmcode mit Sperre wird erst dann aktiv, wenn du die Einstellungen verlässt. Solange du nach dem Aktivieren drin bleibst, ist das nicht aktiv. Ich habe keine Kinder und kann es nicht prüfen.

Edit:

Ist denn überhaupt "Bildschirmzeit für Familie einrichten" eingerichtet / angepasst worden?

ja getestet, ausgegraut nur das eigene Profil ganz oben, darunter die Familiengruppe nicht. Änderung der Apple-ID eines Kindes möglich, erfordert 6-stelligen Gerätecode...

 

[lisanet]

... und der Rest ist auch angepasst, sowohl auf deinem als auch den Geräten der Familie?

 

[Nutzloser]

Face ID funktioniert bei mir in 99,9 % der Fälle und ich kann mich nicht erinnern wann ich das letzte Mal den Pass Code eingegeben habe, auf die Gefahr hin dass ich den sogar vergesse, also ist diese Angriffsmethode bei mir völlig irrelevant.

 

[martincho]

... und der Rest ist auch angepasst, sowohl auf deinem als auch den Geräten der Familie?

ich denke schon, es ist auf deren Geräten die Bildschirmzeit aktiv und ein eigener Bildschirmzeitcode vergeben (den sie nicht kennen, natürlich).

Ein Hinweis warum das nicht gesperrt ist kann sein, dass Apple bei "physischen Sicherheitsschlüsseln" schreibt:

Einschränkungen bei Sicherheitsschlüsseln für Apple-IDs​

• Du kannst dich nicht bei iCloud für Windows anmelden.
• Bei älteren Geräten, die nicht auf eine Softwareversion aktualisiert werden können, die Sicherheitsschlüssel unterstützt, kannst du dich nicht anmelden.
• Kinderaccounts und verwaltete Apple-IDs werden nicht unterstützt.
• Apple Watches, die mit dem iPhone eines Familienmitglieds gekoppelt sind, werden nicht unterstützt. Um Sicherheitsschlüssel verwenden zu können, musst du deine Watch zunächst mit deinem eigenen iPhone einrichten.

https://support.apple.com/de-de/HT213154

 

[lunchbreak]

...ich kann deren Apple-ID an MEINEM iPhone ändern, nicht an deren, TROTZ Sperre in Bildschirmzeit

Das ist übel! Und das hat noch keiner außer Dir rausgefunden!

Das muß man sich mal vorstellen!
Am eigenen iPhone ist der eigene Account geschützt/gegraut (Ändern des Apple-ID-PWs nicht möglich ohne Kenntnis des Bildschirmzeit-Codes).
Am gleichen, eigenen iPhone aber ist ein Ändern des Apple-ID-PWs der Kinder möglich, trotz eingerichtetem Bildschirmzeit-Code!

Das ist fast unglaublich! Wenn das so wie ich es hier im Zitat zusammengefasst habe stimmt, @martincho, bitte bei Gelegenheit bestätigen, danke, dann heißt das:

=>
Ein Dieb ergreift Besitz eines iPhones und des zugehörigen Geräte-Codes (=iPhone-PW).
Bildschirmzeit-Code ist aktiv und die entsprechenden Bildschirmzeit-Beschränkungen bei "Codeänderungen" und "Account-Änderungen" (siehe auch #56) stehen auf "Nicht erlauben".

=>
... dann kann der Dieb zwar nicht die Apple-ID-PW dieses entwendeten iPhones verändern, wohl aber das Apple-ID-PW eines entfernten aber "verknüpften Kinder-iPhones" und zwar mittels des entwendeten Gerätes, das der Dieb in Händen hält. Und das trotz der hier diskutierten Sperren!

Das ist doch fast unglaublich! Wie kann das sein?? edit: Da würde ja ein Apple-ID-Account gehackt, von einem Gerät, welches gar nicht entwendet wurde, und dessen Geräte-Passcode gar nicht ausgespäht wurde. Der Besitzer (das Kind in dem Fall) würde irgendwann merken, daß sein Apple-ID-PW nicht mehr stimmt und sich fragen "warum"? Das kann doch nicht sein, Leute! Wo ist mein Denkfehler?

 

[dg2rbf]

Hi,
Da gibts nur eins, diese Sicherheitslücke bei Apple melden.
Franz

 

[lisanet]

ch denke schon, es ist auf deren Geräten die Bildschirmzeit aktiv und ein eigener Bildschirmzeitcode vergeben (den sie nicht kennen, natürlich).

denken oder wissen?

und dort die "Beschränkungen" zum Ändern des Accounts ebenso?

 

[lisanet]

Das ist fast unglaublich! Wenn das so wie ich es hier im Zitat zusammengefasst habe stimmt, @martincho, bitte bei Gelegenheit bestätigen, danke, dann heißt das:

wie kann man sich so echauffieren, wenn man die Parameter die ich fragte nocch gar nicht durch hat....

Ich bin jetzt hier raus. Dieses Echauffieren über Dinge, die vollkommen überzogen bewertet werden, nervt nur noch.

Viel Spaß noch bei eurer "Sicherheitsdiskussion" und sorry das ich versucht habe, ein paar Infos zu geben.

Edit:

Wenn einem Sicherheit tatsächlich so viel wert ist, wie du und andere, die sich hier echauffieren, so schreiben, dann könnte man diesen angeblichen "GAU" problemlos "absichern".

Wie, das dürft ihr gerne selbst heraus finden.

 

[lunchbreak]

Sorry, das war nicht so gemeint. Wirklich! Ganz im Gegenteil. Ich wollte nur den Schock zum Ausdruck bringen.

Deine Beiträge sind absolut top und bringen viel Licht ins Dunkel und Anregungen wie etwas richtig funktioniert.

Also bitte nicht auf Dich oder Deine Beiträge beziehen, das war ganz und gar nicht meine Absicht.

 

[lisanet]

Ich wollte nur den Schock zum Ausdruck bringen.

Man sollte sich nicht wegen irgendwelcher Forenpostings schockieren lassen und schon gar nicht, wenn Dinge überhaupt nicht geklärt sind. Zum einen sieht man dann die naheliegensten Lösungsmöglichkeiten nicht, zum anderen tut ein Schock der Gesundheit nicht gut.

 

[lunchbreak]

denken oder wissen?

und dort die "Beschränkungen" zum Ändern des Accounts ebenso?

Nochmal inhaltlich:

Verstehe ja Deine Frage, ob das auf den Kinder-Geräten auch so eingerichtet ist.
Aber die Sache scheint doch, wenn es denn so sein sollte wie beschrieben, daß es ganz egal ist, ob und was da auf den Kindergeräten eingestellt ist. Allein die Einstellung auf dem Eltern-iPhone ermöglicht, daß es möglich ist, remote über das Eltern-iPhone ein Apple-ID-PW des Kinder-iPhones zu ändern. Dafür braucht es das Kinder-iPhone bzw. dessen Bildschirm gar nicht - und insofern auch nicht die dort eingegebene Bildschirmzeit-Codesperre. Welche ja nur dort (am Kindner-Gerät) eine Einstellung ohne Kenntnis des Bildschirmzeit-Code unterbinden würde. Passieren tut der Hack ja aber vom entwendeten Eltern-iPhone. Darauf wollte ich hinaus.

 

[lisanet]

ich argumentiere nicht mehr über irgendwelche theoretischen Konstruktionen irgendwelcher fiktiven Szenarien, wenn niemand anderes bemüht ist, die naheliegenden Lösungsalternative zu suchen (die exisitiert). Wem Sicherheit tatsächlich so wichtig ist, dass man das in Forenpostings als unmöglich, Schock, unglaublich und sonst was darstellt, der sollte die banale Möglichkeit finden. Will er das nicht, ist ihm Sicherheit nicht so wichtig, wie er tut.

Edit:

Denn dann stellt er eben Bequemlichkeit und Kontrolle über Sicherheit. Das kann jeder so entscheiden, wenn er will.

 

[lunchbreak]

Man sollte sich nicht wegen irgendwelcher Forenpostings schockieren lassen und schon gar nicht, wenn Dinge überhaupt nicht geklärt sind. Zum einen sieht man dann die naheliegensten Lösungsmöglichkeiten nicht, zum anderen tut ein Schock der Gesundheit nicht gut.

Ja. Aber kannst Du anderseits meinen Gedankengang in #111 denn nachvollziehen? Was daran, auf Basis der übermittelten Infos von User martincho, ist brüchig, nicht schlüssig? Ich glaube ja nach wie vor, daß er vergessen hat irgendwo einen Haken zu machen. Aber wenn es so wäre, wie in #111 schlußgefolgert, das wäre doch schon ein Ding, oder?

 

[lisanet]

Aber kannst Du anderseits meinen Gedankengang in #111 denn nachvollziehen?

nein kann ich nicht, da den "Schock" und das echauffiern vollkommen an der Situation vorbei geht und Risiken überdramatisiert und banale Lösungen außer acht lässt, die man bei ruhigem Kopf schnell finden würde, wenn es einem tatsächlich um diesen so arg hohen, totalen und vollkommenen Sicherheitsaspekt geht.