Achtung: Apples Zwei-Faktor-Authentifizierung lässt sich umgehen

Der moderne digitale Lifestyle mit dutzenden Web-Konten, Computern und mobilen Gadgets kommt ohne umfassende Sicherheitsmaßnahmen nicht aus. Auf jedem einzelnen Smartphone ist heute das gesamte Leben vom Fotostream über den Browser-Verlauf bis zur Banking-App auf ein einziges Gerät komprimiert.

Ein beliebter und recht zuverlässiger Schutz von digitalen Inhalten stellt die Zwei-Faktor-Authentifizierung dar, die heute in vielfältiger Form verwendet wird. Wird etwa die Gaming-Plattform „Steam“ auf einem neuen Computer installiert, erhält man an die im Konto hinterlegten Email-Adresse eine PIN, der zur erfolgreichen Anmeldung eingegeben werden muss. Auch Online-Banking mit Mobile-TAN ist letztlich eine Zwei-Faktor-Abfrage – nach der Anmeldung mit Passwort am Computer erhält man die TAN per Smartphone-App.

Apples etwas andere Zwei-Faktor-Authentifizierung

Auch Apple verwendet für die iCloud eine Zwei-Faktor-Authentifizierung, allerdings funktioniert diese etwas anders. Anstatt einer E-Mail wird die PIN als Pop-Up-Fenster auf einem bereits registriertem Gerät dargestellt. Wer etwa ein neues MacBook einrichtet, erhält die PIN dann auf sein iPhone. Nach Eingabe der PIN wird das MacBook bei Apple als vertrauenswürdig eingestuft.

Dieses Prinzip ist eigentlich sicher, allerdings gibt es in der Praxis ein großes Problem. Denn Apple sendet das Pop-Up nur an andere Apple-Geräte wie iPhone, iPad (ab iOS9) oder an Macs (ab El Capitan). Wer nur ein Apple-Produkt besitzt, kann sich die PIN nicht auf einem Windows-Notebook oder Android-Smartphone – etwa per Mail – anzeigen lassen. Wer ein iPhone einrichtet ohne ein weiteres Apple-Gerät im Haushalt, kann die PIN dann per SMS oder lokalem PIN-Generator auf das selbe Telefon erhalten – eine wirklich sichere Zwei-Faktor-Authentifizierung ist das nicht mehr.

Browser werden als „vertrauenswürdige Geräte“ klassifiziert

Praktisch ad absurdum wird das Verfahren allerdings geführt, wenn man sich über den Web-Browser bei iCloud anmeldet. Auch hier wird die Sicherheits-PIN an alle Geräte geschickt – inklusive dem, an dem man sich gerade anmelden will. Das liegt daran, das Apple die Browser als separate „vertrauenswürdige Geräte“ klassifiziert.

Wir haben das in der Praxis ausprobiert und uns an einem iMac über den Firefox-Browser bei iCloud angemeldet. Die Sicherheits-PIN kam daraufhin auch am iMac an. Eine Zwei-Faktor-Authentifizierung liegt hier de facto nicht mehr vor. Und das selbe passiert auch bei der Web-Anmeldung am iPhone oder dem iPad.

Das ist natürlich besonders brisant, wenn ein Angreifer das Passwort kennt und Zugriff auf den Mac oder das iPhone erhält. Noch schlimmer wird es aber, wenn in der iCloud auch die Keychain-Passwörter aus Safari gespeichert werden, denn dann hat der Angreifer vollen Zugriff auf das digitale Leben des Opfers. Apple ist sich dieser Schwachstelle bewusst, will aber daran festhalten.

Dieser Artikel ist auch verfügbar in: FranzösischItalienisch