Apfelinsel
Apple => Thema gestartet von: Florian am September 08, 2011, 01:58:51
-
Macworld hat einen längeren Artikel (http://www.macworld.com/article/161794/2011/09/the_towson_hack_the_mystery_of_disappearing_itunes_credit.html) zu gekaperten iTunes-Accounts online gestellt.
Scheinbar gibt es nach wie vor zahlreiche Betrugsfälle, die Accounts, v.a. auf Guthabenbasis, werden mit Käufen belastet, die der Kunde nicht veranlasst hat.
Die plausibelste Erklärung ist natürlich Phishing. Wurden die Kunden also unter Vorspiegelung falscher Tatsachen zur Herausgabe ihres Passworts gebracht? Oder werden Brute-Force-Attacken auf den Appstore gefahren und sind überdurchschnittlich erfolgreich? Oder hat doch der Appstore einen Fehler und Apple findet ihn nicht?
Kommt vielleicht alles zusammen?
Apple äußert sich nicht groß zur Sache und deutet nur an, man sei der Meinung die Kunden haben das Passwort herausgegeben. Oft mit den geklauten Credits gekaufte Apps wurden aber entfernt, auch dazu kein Kommentar.
Der Artikel weist auf eine Menge merkwürdige Umstände hin. Warum wurde der Wohnort der Opfer anfangs oft in Towson geändert? Warum sind viele der Transaktionen In-App-Käufe innerhalb eines Spiels vom seriösen Anbieter Sega? Wie kann ein schon gesperrter Account noch belastet werden?
Insgesamt unbefriedigend.
Jedenfalls sollte man als Kunde immer überprüfen - wenn eine Mail eintrudelt - ob man die App wirklich gekauft hat. Blöd nur wenn man mal länger offline ist. Immerhin leistet Apple scheinbar generell still und leise Ausgleich. Zumindest bei der ersten Meldung.
-
Nun ja, Problem ist doch, dass man nichts weiß. Weder wie es passiert, noch ob es ungewöhnlich viele Fälle sind. Deshalb finde ich auch die Aussage "Oder werden Brute-Force-Attacken auf den Appstore gefahren und sind überdurchschnittlich erfolgreich?" nicht richtig. Warum überdurchschnittlich erfolgreich?
Gekaperte Accounts gibt es überall (Amazon, eBay...). Liegt in der Natur der Sache, dass Leute schlechte Passwörter haben und daher gekapert werden. Ob noch andere Gründe dahinter stecken, weiß keiner und Hinweise gibt es auch öffentlich keine, oder?
Das es nur wegen dem Apple ein größeres Medienecho findet, ist klar. Was wurde nur bei dem "Locationgate" für Unsinn geschrieben. Und jetzt wo bei Android oder Windows Phone (habe vergessen bei wem es der Fall ist), trotz abgeschalteter Ortungsfunktion sogar Positionsdaten geloggt und übertragen werden, interessiert es niemanden. Ist ja nicht Apple...
-
Natürlich ist eine große Portion Spekulation. Wenn man den Artikel liest, erkennt man aber doch zahlreiche Merkwürdigkeiten. Was soll das mit der Änderung des Wohnorts etc.? Warum werden eher Guthaben als Kreditkarten angezapft? Was sollen diese In-App-Käufe?
Wie bei den Banken wird das Thema einfach totgeschwiegen und still bereinigt durch Kundenentschädigung.
Zu Brute Force: Ich schrieb „überdurchschnittlich erfolgreich“, weil der Appstore sich ja nach einer gewissen Anzahl verweigert. Natürlich kenne ich die Zahlen nicht, aber hier in Deutschland war es zeitweise sogar so, dass man sich bei Firstgate/Click&Buy neu legitimieren musste. Für kurze Zeit konnte man sogar gar keine Geschenke mehr machen. Zumindest liest man davon. Einzelfälle sind das also wohl nicht mehr.
Das die Macworld über Apple berichtet, ist ja wohl irgendwo normal. Ich dachte auch erst „FUD!“, aber Apple bräuchte ja nur mal bisschen Transparenz walten lassen, wenn nichts dran ist.
-
Tja, Transparenz und Apple, da treffen wahrscheinlich zwei Welten aufeinander. :)
Aber es ist eben wie bei allen anderen Online-Shops (Amazon, eBay etc.) auch. Das Thema wird totgeschwiegen oder verleugnet, teilweise sogar ohne Kundenentschädigung. Schau Dir mal eBay/PayPal an.
-
Schau Dir mal eBay/PayPal an.
Du hast schon recht, aber wie gesagt, von solchen Merkwürdigkeiten habe ich noch nirgends gehört. Das ist doch alles schon recht seltsam.
-
Abzock App umsatzstärkste iPad App - laut diesem - Verzeihung - eher dämlichen Artikel:
http://www.spiegel.de/netzwelt/apps/0,1518,796353,00.html
Link berichtigt
-
Habe schnell Deinen Link korrigiert, er hatte ein Anhängsel hinter dem html.
Folgerung des Autors bleibt wenigstens richtig: Gutes Passwort und niemals herausgeben ausserhalb des Stores.
In der Hoffnung, dass nicht doch bei Apple selbst auch ein Fehler liegt.
-
Der Artikel ist wirklich großer Unsinn.
Effektiv schreiben sie doch selber, dass die Gauner anscheinend über ihnen bekannte Kennwörter verfügen. Entweder weil sie die direkt kennen oder weil derjenige überall das gleiche Kennwort verwendet. Gegen einfaches Durchprobieren (also Wörterbuchattacke z.B. ) hat Apple einen Riegel vorgeschoben, wie sie selber schreiben.
Wenn ich E-Mail und Kennwort von irgendjemandem habe, kann ich auch bei Amazon lustig unter fremden Account einkaufen. Böses Amazon. ::)
Und was der Prüfungsprozess bei Einreichung einer App damit zu tun hat, ist wohl auch nur denen klar. Wie soll denn geprüft werden, dass eine App in Zukunft mit geklauten Accounts gekauft werden soll?
Das einzige, was sie Apple vielleicht vorwerfen können, ist, dass die betroffene App noch drin ist. Wobei es sicher auch nicht so einfach ist, die so ohne handfesten Beweis zu entfernen. Sonst könnte man mit der Methode auch gut Apps unliebsamer Konkurrenz entfernen lassen...
-
In dem ersten Beitrag habe ich ja geschrieben, dass auch ein Sega-Spiel stark betroffen ist/war. Die werden wohl kaum mit dahinter stecken, der Sinn der Aktion bleibt unklar.
Über dieses chinesische Spiel wüsste ich gerne mehr. Aber wie suche ich danach?
-
Account-Missbrauch im App Store - Mac & i erläutert die Hintergründe und zeigt, was Betroffene in einem solchen Fall tun sollten:
http://www.heise.de/mac-and-i/artikel/Account-Missbrauch-im-App-Store-1406782.html ff
-
Ich war auch betroffen, aber garantiert nicht durch Pishing oder dergleichen.
Weiß bis heute nicht, warum.
-
Es bleiben noch zwei Möglichkeiten neben Phishing:
- Hast Du Benutzername/Kennwort-Kombination auch woanders benutzt?
- Hast Du schon einmal was gekauft, als Du in einem unverschlüsseltem WLAN warst?
Andere Frage: Was hast Du als Zahlungsmethode hinterlegt?
-
Zu 1. Ja
Zu 2. Nein
Gutscheine
-
Zu 1. Ja
Das ist einer der aktuell drei bekannten möglichen Gründe.
-
Neue XSS-Schwachstelle im Store:
http://winfuture.mobi/news/67711
-
Interessant. Wenn ich das richtig verstehe, soll man dann so den im Browser angezeigten Store modifizieren können. Da könnte man dann ein Login-Formular, welches es da eigentlich gar nicht gibt, anzeigen lassen und so Benutzernamen und Kennwort abfragen. Also Phishing.
-
http://www.giga.de/downloads/itunes/news/verwirrende-popups-apple-will-sicherheit-in-itunes-erhohen/
-
Das Popup habe ich noch nicht gesehen, allerdings würde mich das auch erst einmal abschrecken. :)
Und diese "Sicherheitsfragen"... Bisher habe ich es überall vermieden, derartige Sicherheitsfragen und -antworten einzugeben. Irgendwie habe ich das Gefühl, dass die viel zu einfach knackbar sind im Gegensatz zu einem guten Kennwort. Bei den vorgegebenen Fragen kenne ich jeweils mehrere, die meine Antworten auch wüssten und bei selbst ausgedachten Fragen ist das genauso oder es sind Fragen, die ich selber nach ein paar Jahren nicht mehr richtig beantworten würde.
-
Klar sind die leichter knackbar. Zum einen durch Leute, die einen gut kennen, zum anderen verringert sich die Menge der Möglichkeiten ganz dramatisch. Namen (ob Hund, ob Mensch), Geburtsorte und Kalenderdaten unterliegen zudem einer gewissen Verteilung, die Treffer noch enorm begünstigt.
Das System wollte ich auch schon mal austricksen und habe beim Mädchenname meiner Mutter Fantasie walten lassen. Habe es mir auch ganz sicher notiert. Doch als ich es dann mal brauchte - wo nur? Das ist dann schon saublöd.
-
Das System wollte ich auch schon mal austricksen und habe beim Mädchenname meiner Mutter Fantasie walten lassen. Habe es mir auch ganz sicher notiert. Doch als ich es dann mal brauchte - wo nur? Das ist dann schon saublöd.
Eben, so geht es mir auch. Wähle ich eine Antwort, die keiner weiß, weil entweder die Frage völlig abstrus ist oder die Antwort ausgedacht, dann habe ich das garantiert vergessen, wenn ich es bräuchte. Das ist üblicherweise erst Jahre später der Fall.
-
Wollte mein iTunes-Passwort verkomplizieren.
Nach zehn Meldungen, dies und das Zeichen ginge nicht, habe ich es sein lassen.
Apple erlaubt praktisch keine Sonderzeichen und drängt damit fast schon zum einfachen Code. Wie angreifbar solche Passwörter mittlerweile sind, müssten sie eigentlich wissen, zumal die Rechenleistung der Brute-Force-Angreifer rasant zunimmt.
Dazu ein Artikel ohne große Neuigkeiten.
http://www.n-tv.de/technik/Passwoerter-werden-unsicherer-article10092261.html
Wenn ich jetzt noch bedenke, dass die Apple-ID ja wohl dazu gedacht ist von Mail und iCloud bis Mac-Kauf alles zu erlauben und zu verwalten, na dann gute Nacht.
-
Schreib halt einfach einen ganzen S4tz rein mit zw3i, dre1 Ziffern das ist viel sicherer als die ganze Scheiße mit den mnemotechnisch beknackten anderen Passwörtern.
(http://imgs.xkcd.com/comics/password_strength.png)
Wer den alt text lesen will, muss halt direkt zu xkcd: http://xkcd.com/936/
-
Dir ist aber klar, dass das Satire ist?
Am Anfang jeder Brute-Force-Attacke steht gleich nach den Standardpasswörter (wie „1234“) und Namen, Geburtstagen usw. die große Wörterbuchattacke.
Die Tools sind auch clever genug, dieses Ziffern als Ersatzbuchstaben zu entziffern. Das können ja schon die blödesten Spam-Bots.
Natürlich kann man streiten, wie viel Sicherheit noch sinnvoll ist. Es gibt aber keinen guten Grund, warum im Jahr 2013 Apple keine Sonderzeichen zulässt.
-
Hier ist IMO entscheidend, dass längere Passwörter besser sind als kürzere. Und wirkungsvoller als ein Sonderzeichen ist es, drei Worte mehr einzubauen, weil die pure Anzahl der Zeichen die Attacke schwieriger macht. Und na klar ist es hilfreich, ein oder zwei Sonderzeichen einzubauen, aber es müssen halt nicht notwendigerweise unles- und -merkbare Zeichenketten sein, darum ging’s mir.
-
In Kombination wird ein Schuh draus. Also lang und möglichst kompliziert.
Wörter kann man leider nicht auf die Anzahl der Zeichen reduzieren, wenn es um die Sicherheit ginge, weil eben die Wörterbuchattacke vor dem bloßen Ausprobieren steht. Und die sind mittlerweile sehr ausgereift, wissen welche Buchstaben am wahrscheinlichsten aufeinanderfolgen und reduzieren so den Aufwand noch einmal.
Auch an sich unlogische Wortverbindungen werden abgeklappert. Ebenso übliche Doppeltasten wie 1! usw., usw.
4pƒe@!N‚€L ist also sicherer als Apfelinsel.
Aber nicht so sicher wie ein (vermeintlich) zufälliger Code wie 75©u$º)ΩI˘.
Warum? 4 als Ersatz für A ist bekannt, pfe und l stehen im Wörterbuch, @ ist am Mac die selbe Taste mit alt usw. Das wird alles berücksichtigt, um dem Rechenaufwand zu minimieren.
Natürlich ist es unheimlich schwierig, sich solche Passwörter zu merken. Deshalb ja Schlüsselbund und 1Password oder was auch immer.
Nun der Haken: Auch diese Programme muss man wieder sichern und was ist meine Erfahrung? Die Leute sichern irgendwelche unwichtigen Logins mit 20 Sonderzeichen, der Schlüsselbund (oder das Smartphone) aber ist mit einem simplen Code geschützt, weil man den sich ja merken und oft eingeben muss, was ich natürlich nachvollziehen kann.
-
Phishers appear to have concentrated their fire ... We’ve identified a total of 110 compromised sites:
http://blog.trendmicro.com/trendlabs-security-intelligence/hackers-to-manage-your-apple-id-if-caught-from-phishing-bait/
-
Die Problematik, zwar sichere Kennwörter in z.B. 1Password zu speichern und dann aber ein schlechtes Hauptkennwort zu benutzen, ist sicherlich da. Gerade aus Bequemlichkeit neigt da jeder zu.
Ich habe aktuell drei Hauptkennwörter, von denen ich glaube, dass sie gut genug sind. Eines für 1Password, eines für den Rechner und eines für das Bankingprogramm.
Ich gebe zu, dass ich meine iOS-Geräte gar nicht gesichert habe, weil ich zu faul bin, da ständig was einzutippen.
-
Ich gebe zu, dass ich meine iOS-Geräte gar nicht gesichert habe, weil ich zu faul bin, da ständig was einzutippen.
Mein iPhone habe ich nun mit einer 4-stelligen Zahl gesichert, der Code wird aber erst nach 4 Stunden Inaktivität neu angefordert.
In der Praxis gebe ich den Code also zwischen 1 und 3 mal am Tag ein, das ist für akzeptabel.
Falls ich das iPhone nur verliere, könnte es ein Schutz sein, bei Diebstahl wohl erst einmal nicht.
Sicherheit ist halt einfach nur nervend!
-
http://www.ifun.de/e-mail-phishing-apples-passwort-zuruecksetzen-mails-nehmen-zu-bka-entwarnt-45560/
-
Neue Apple-ID-Klauaktion:
http://www.heise.de/mac-and-i/meldung/Phishing-Welle-zielt-erneut-auf-Apple-IDs-ab-2183075.html