Újfajta módszerekkel lopják el az iPhone tulajdonosok teljes digitális "életét" a támadók

Apple

A The Wall Street Journal cikksorozatban hívja fel a figyelmet arra, hogy a támadók újfajta módszerekkel lopják el az iPhone tulajdonosok teljes digitális "életét" az USA-ban. Általában bárokban szedik áldozatukat. Ott kilesik a telefon passcode-ját, majd ellopják/elrabolják a készüléket. Ezután azonnal megváltoztatják az Apple ID jelszót, kikapcsolják a Find My iPhone követést, kijelentkeztetik az összes megbízható eszközt és beállítják a recovery keyt, amivel teljesen és véglegesen kizárják a tulajdonost az Apple ökoszisztémájából. Ezután leürítik a bankkártyáit, Apple hitelkártyát rendelnek a nevében, amelyet vásárlásokhoz használnak fel stb. Mindezekkel szemben a tulajdonos teljes mértékben tehetetlen.

A fenti és lenti videókban az áldozatok mondják el, hogyan kerültek ebbe a kilátástalan helyzetbe.

Ugyanis az Apple nem segít. Ezt érzik a legfőbb problémának. Hiába szeretné az ügyfél magát személyi igazolvánnyal, társadalombiztosítási számmal stb. azonosítani, az Apple hajthatatlan. Ha ez megtörténik, az ügyfél elveszti az összes iCloud-ban tárolt adatát, dokumentumát, fényképét. A The Wall Street Journal az Apple-t is felelőssé teszi ezért.

Részletek itt és itt.

( trey | 2023. 04. 20., cs – 10:23 )

  • a videókban elhangzik, hogy de mi van az Android-dal ... a rendőrtiszt szerint az ügyei 99%-ban iPhone-ról van szó

trey @ gépház

Nagy szar az iOS, de ebben az Android sem különb. Ami miatt az Android itt előnyben van, hogy az nem teljesen zárt ökoszisztéma, nem lehet belőle teljesen kizáródni, meg ilyen hitelkártyákat hozzárendelni. Amúgy ugyanaz a fosch, csak pepitában, teljesen lekorlátozott, lebutított rendszer, ami csak arra jó, hogy a használóját megfigyeljék, lekövessék, meg reklámokat nyomhassanak az arcába.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

En mashogy ertelmeztem Raynes hozzaszolasat. Szerintem o arra gondolt, hogy Android eseten nem lehet ilyen kartyat rendelni (o ugy irta, hogy hozzarendelni a keszulekhez). Az vilagos, hogy letezo hitelkartyat hozza lehet adni barmelyik OS alatt a tarcahoz, de uj Apple hitelkartyat nem rendelhetsz Androidbol.

[szerk.] A videoban emlitettek, hogy a tolvaj rendelt ilyet a felhasznalo neveben.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Mert US Apple penetracio is kb. 99% es a "hasznalt" piacon nincsennek arak, mert mindenkinek a legujabb legjobb kell.

Most ha van $50 a zsebedben, akkor siman veszel egy kozepes X kategorias iphonet.

Neha refurbished akciok is vannak 50-100 $ környéken.

Every single person is a fool, insane, a failure, or a bad person to at least ten people.

( Proci85 v | 2023. 04. 20., cs – 10:39 )

Ha jól értem,ez az egész a passcode-ra épül. Ha valaki ujjlenyomatos azonosítást használ, akkor védve van.

Igen. Ezeken támogatott:

  • iPhone SE (2022)
  • iPhone SE (2020)
  • iPhone SE (2016)
  • iPhone 8 Plus
  • iPhone 8
  • iPhone 7 Plus
  • iPhone 7
  • iPhone 6s Plus
  • iPhone 6s
  • iPhone 6 Plus
  • iPhone 6
  • iPhone 5s

Ezeken meg nem: iPhone XR, XS, 11, 11 Pro, 12, 12 Pro, iPhone 13, iPhone 13 Pro, iPhone 14-ek

trey @ gépház

ChatGPT, az iPhone 14-en van Touch ID?

Az iPhone 14 jelenleg még nem jelent meg, és az Apple semmilyen hivatalos információt nem osztott meg az eszköz specifikációiról és funkcióiról. Így nem tudjuk pontosan, hogy az iPhone 14 rendelkezik-e Touch ID ujjlenyomat-olvasóval vagy sem. Az Apple általában szeptemberben mutatja be az új iPhone modelleket, így az iPhone 14 bemutatására várhatóan csak 2022 őszén kerül sor. Addig pedig csak pletykák és találgatások állnak rendelkezésre az új eszköz specifikációiról.

OK, boomer! :D

trey @ gépház

https://hup.hu/comment/2910089#comment-2910089

A probléma még mindig az, hogy ha eljutott odáig, hogy nála van a feloldott telefon és téged kizárt, az Apple-lel vissza lehessen csináltatni, de nem lehet. Ezen kell változtatni.

trey @ gépház

Ez áldozathibáztatás. Ha van egyáltalán olyan beállítási lehetőség, amit használva az user olyan helyzetbe kerülhet, hogy véglegesen kizárhatják, akkor lennie kellene az Apple-nél egy személyes azonosítási lehetőség. Ha pedig nincs, akkor nem kellene, hogy legyen olyan beállítási lehetőség, amit választva olyan helyzetbe kerülhet, hogy véglegesen kizárhatják.

trey @ gépház

Ez nem "aldozathibaztatas", ez idiotahibaztatas :D

De gondolom szerinted azt mondani hogy aki az utcan elhajigalja a bankkartyajat amit aztan masok vasarlasra hasznalnak az hulye, az is "aldozathibaztatas", ugye?

Ha a rendszergazda kiirja a root jelszot egy sarga cetlire es raragasztja a serverre, aztan azt valaki kihasznalva belep a rendszerbe es 'barmit' csinal, akkor a rendszergazdat hibasnak tartani "aldozathibaztatas", ugye?

De gondolom szerinted azt mondani hogy aki az utcan elhajigalja a bankkartyajat amit aztan masok vasarlasra hasznalnak az hulye, az is "aldozathibaztatas", ugye?

Miért, ott ha ilyenkor bemegy a bankba az ID-vel, hogy baj van, akkor a bank szétteszi a kezét, hogy IJ, a muksó innentől költheti a pénzed, bocs? 

Pont ez jutott nekem is eszembe, hogy miért kellett egy 5$-os alkatrészt kispórolni egy 1000$-os készülékből?
Valószínűleg ez is magyarázza, hogy miért iPhone-okról van szó leginkább, és miért nem Android-ról.
Mert ott ugye van ujjlenyomatolvasó szinte minden telefonban, és az a legegyszerűbb feloldási lehetőség szerintem.
És akkor jön a kérdés, hogy mi a helyzet a faceID-val? 
Ha jól tudom, azt nagyon szeretik a népek, meg megbízható is.
Akkor miért pin kódoznak az amerikaiak?

Ezert  volt jo pl. a blackberry kepzar megoldasa, azt nem lehetett kifigyelni, mivel nem biometrikus, nem erdemes az eszmeletlen allapotu tulajdonos ujjat, retinajat szkenneltetni vele, nem lehet megfejteni, csak ha kiverik belole, hogy nyissa ki a telefont, de az ellen meg ugye semmi nem ved..

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Lassan jobb megoldás, igen, mert a pénztárcádban nincs benne a teljes vagyonod (tisztelet a kivételnek), ellenben a telefonon van rá esély, egyre több. Lásd Erste George (lehet, hogy más bank is): ha telefon feloldható biometriával, George ID feloldható biometriával, akkor túlságosan erőszakos támadás sem szükséges, hogy valaki minden pénzt elutaljon róla.

Gondolom nem iróniának szántad, de az lett belőle, méghozzá nagyon jó! :D

"Ezért jobb az elektronikus pénz, mert az nem létezik, tehát ellopni se tudják."

A bankszámlapénz nem pénz hanem pénzhelyettesítő eszköz. Ennek számtalan messzemenő következménye van. De itt most konkrétan csak olyan esetekre gondoltam mint nemrég a tüntető kanadai kamionosok esete, akinek valahogy csodálatosan zárolták a bankszámláikat, végül meg is törték a tiltakozási akciójukat. Ha valódi pénz a pénztárcájukban lett volna, akkor ezzel nem lehetett volna fogást találni rajtuk. Nincsenek illúzióim, a kanadai Trudeau rezsim talált volna más módszert, akár karhatalom bevetését éles lőszerekkel felvértezve. 

( trey | 2023. 04. 20., cs – 10:56 )

Szerkesztve: 2023. 04. 20., cs – 10:58

Ahogy én a problémát látom:

Az nem kérdés, hogy a támadók el tudnak-e jutni odáig, hogy teljesen kizárják a tulajt, mert megtörtént számtalan esetben. Ezt nyugodtan ugorhatjuk. A probléma az, hogyha ez megtörténik, az Apple nem tesz semmit. Nincs egy olyan lehetőség, hogy valaki igazolja magát és visszakapja az ellenőrzést. Jelzem, a Microsoftnál van. Ha elvesztetted a 2FA miatt a hozzáférést, személyazonosság igazolása után visszakaphatod pl. az O365 tenantod.

További probléma az ökoszisztéma összedrótozása, pl. az Apple hitelkártya igénylehetősége, ami ha megtörténik, - ha jól értem - szintén nem tiltható le az Apple nélkül, ami nem segít. Ördögi kör.

trey @ gépház

Valóban ez nagy probléma. Kipróbáltam, hogy hozzáadtam a fiókomhoz 2 biztonsági kulcsot és ugyanúgy elég volt a Passcode a jelszó módosításhoz. Ez elég szomorú, ezt azért könnyen lehetne javítani, hogy az aktuális jelszót is meg kellene adni a jelszó módosításhoz. Mondjuk a jelszó reset ellen ez sem véd, mert kér a tolvaj új jelszót, és mivel vélhetően az Apple fiók e-mailje is bevan állítva a telefonra, nem lesz nehéz dolga.

Azt például szerintem elég sok esetben meg lehetne csinálni hogy kér egy másik eszközön is jóváhagyást.
Mintha néha ilyet szokott is volna tenni de már nem vágom pontosan milyen esetben.
Nem látszik megugorhatatlan feladatnak.

jó persze nincs mindenkinek több apple eszköze de akár meg lehetne adni valaki másét.

zászló, zászló, szív

Szerintem sem vagy-vagy. Azt mondtam, hogy szerintem a prioritás az lenne, hogy ne legyen ennyire nyilvánvaló támadási felület, és a maradékot meg kártalanítjuk, ellentétben azzal, hogy egy ismert sebezhetőséget nyitva hagyunk, és felveszünk még száz biorobotot, aki kezeli a panaszt.

"Jelzem, a Microsoftnál van"

Jelzem, a Microsoftnal probaltam visszalepni egy regi accountba. Par nap utan (miutan megadtam csillio adatot ami kert, ujra es ujra) feladtam...

Bar egy masik accountot sikerult megszereznem. Egy olyat, amire valaki (godnolom felregepelesbol adodoan) az EN email cimemmel regisztralt. Ez mar onmagaban brutalis, hogy ilyet egyaltalan lehet... Ott vegul az lett a megoldas hogy kertem az account torleset, amit 60 nap utan meg is csinaltak (ha az account tulaja azt mondja hogy ne toroljek, akkor igy jartam, az en email cimem egy teljesen random accounthoz van rendelve), es ujraregisztraltam en.

 

Egyebkent azzal egyetertek hogy leteznie kell(ene) modnak arra hogy megfelelo azonositas utan a user visszakapja az accountot.

pl. az Apple hitelkártya igénylehetősége, ami ha megtörténik, - ha jól értem - szintén nem tiltható le az Apple nélkül

Ja, ez jokora szivas, nem is tudtam eddig, hogy letezik Apple hitelkartya.

A probléma az, hogyha ez megtörténik, az Apple nem tesz semmit.

Ez lehet, hogy kicsit bonyolultabb, nem? Honnan kellene tudnia az Apple-nek, hogy mondjuk en vagyok a tulajdonosa az adott AppleID-nek vagy akar a telefonnak. Termeszetesen egy alapos nyomozassal, targyalassal, stb. biztosan ketseget kizaroan kideritheto, tehat megvan ra az elvi lehetoseg. De nem latom at, hogyan tudjak ezt ok eldonteni egy birosagi vegzes nelkul. Ha kispista[kukac]gmail.com ir nekik, hogy kispista[kukac]icloud.com accountot adjak mar neki mert a mobiljat elloptak, stb. (lasd videok) akkor mit kellene tenniuk, hogyan tudnak ellenorizni az ugyfelet?

Ahhoz tudnam hasonlitani, ha valaki visz magaval egy zsak penzt es kiraboljak. Ezek utan mi az eselye a penz visszaszerzesere addig amig nincs meg a tettes es nem iteltek el? Nulla. Ha megvan a tettes + elitelik de nincs meg a penz? Akkor is nulla (ha jol sejtem). Amig nem mondja meg, hogy hol van "elasva" a penz, addig elegge eselytelen a dolog.

Amivel nagyon egyetertek az az, hogy egy eszkoz lezaro kodnak nem kellene ennyi minden folott rendelkezni, ugyanakkor valahogyan ez meg kell oldani (ezen lehetne javitani). En mar a jelenlegi biztonsagi megoldasaiktol is agyf*szt kapok. Volt, hogy 3 eszkoz volt kapcsolva egy appleID-hez, aztan valamelyikre probalta kuldeni a belepesi kodot, jellemzoen arra ami a fiokban volt kikapcsolva. Amit az Apple jelenleg csinal az minden csak nem 2FA (lasd video). Bizonyos dolgokat kizarolag csak bongeszobol kellene engedelyezni a mobilra kuldott azonositassal (termeszetesen ha az appleID jelszavat megtudjak es ellopjak a mobiljat a feloldo koddal akkor megint ott vagyunk ahol a part szakad).

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Honnan kellene tudnia az Apple-nek, hogy mondjuk en vagyok a tulajdonosa az adott AppleID-nek vagy akar a telefonnak.

Onnan, hogy ha pénzügyi szolgáltatásokat nyújt közvetve vagy közvetlenül, akkor bekéri az adatokat rendesen az elején. Ahogy azt pénzügyii szolgáltatók teszik. Gondolom te sem regisztráltál még Revolut-ra, Coinbase-re stb. Nem csak a személyes adatokat, hanem fényképes igazolványt stb. is be kell nyújtani. Hát, innen ...

trey @ gépház

Onnan, hogy ha pénzügyi szolgáltatásokat nyújt közvetve vagy közvetlenül, akkor bekéri az adatokat rendesen az elején.

Igaz, nem ugy tekintettem rajuk, mint penzugyi szolgaltato. Gondolom attol a pillanattol kellene kerni az adatokat, amint penzt biz valaki rajuk.

Gondolom te sem regisztráltál még Revolut-ra, Coinbase-re stb.

Forditva, az Apple-nel nem regisztraltam hitelkartyara :)

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ha elvesztetted a 2FA miatt a hozzáférést, személyazonosság igazolása után visszakaphatod pl. az O365 tenantod.

Azért arra nagyon kiváncsi lennék, hogy egy indiai supportos mit tudna kezdeni egy cégkivonattal - mert ugye a céges adatok lehet az egyetlen ami összeköti a személyt a tenant-el.

A tenantot nem iskolai|munkahelyi e-mail fiókkal regisztrálta, hanem személyes fiókkal (gy.k.), így a személyazonossága igazolása után visszakapta.

Ha céges lett volna, akkor semmi probléma sem lett volna, mert a regisztrált Microsoft Cloud Solution Provider (pl. én 🤷‍♂️), amikor létrehozza neki a tenant-ot, adminként megjelenik abban, így ki tudja resetelni.

trey @ gépház

( sz332 v | 2023. 04. 20., cs – 12:17 )

Ebből igazából egy dolog következik: cybersecurity-t tervezni kell, nem utólag beletákolni a rendszerbe. Az egész probléma egy logikai probléma, amelyet megfelelő threat modellezéssel szépen meg lehetett volna fogni.

> de az ellen meg ugye semmi nem ved..

 

Vagy mondjuk nem megvarni, mig a new york times  Wall Street Journal cikkezi/videozik rola, amikor mar az 50ezredik karosult panaszkodik.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( kruska v | 2023. 04. 20., cs – 12:36 )

Kérdés:

Az eredeti bejegyzésben linkelt cikkben írt megoldás, tehát a recovery key legenerálása -csak az eredeti tulaj által -, nem megoldás véletlen?

De. Ugyanis ebben az esetben nem fog működni a normál account recovery folyamat, amit a támadók kihasználnak.

A recovery key is a randomly generated 28-character code that you can use to help reset your password or regain access to your Apple ID. While it’s not required, using a recovery key improves the security of your account by putting you in control of resetting your password. Creating a recovery key turns off account recovery. 

Using a recovery key is more secure, but it means that you’re responsible for maintaining access to your trusted devices and your recovery key. If you lose both of these items, you could be locked out of your account permanently. With that in mind, it's important to keep your recovery key in a safe place. You might want to give a copy of your recovery key to a family member, or keep copies in more than one place. That way you always have your recovery key when you need it.

Csodálatos. 

Egyszer kellett ilyesmivel foglalkoznom (követni az eszközt, letiltani, újra engedélyezni stb.): fiam Macbookját ellopták az egyetemen ZH közben (táskákat le kellett tenni a fogasnál), rohangáltunk és telefonálgattunk késő estig (külön megér egy misét), végül kiderült, hogy valószínűleg valaki tévedésből vitte el a táskáját (nagyon hasonló volt), vagy annyira beijedt, hogy néhány teremmel arrébb letette az egészet. Csak a szendvics hiányzott :D

( Hevi v | 2023. 04. 20., cs – 12:50 )

Ezzel a zEU bezzeg nem foglalkozik, csak olyan nagyon fontos dolgokkal, mint a kuki popup, meg hogy milyen formájú mit dugdoshatsz ezentúl hova...

( doc | 2023. 04. 20., cs – 12:57 )

FaceID, problem solved. Aki 2023-ban patternt/pin kodot hasznal biometrikus azonositas helyett, az mire szamit?

(es ez totalisan fuggetlen attol hogy Android vagy iPhone vagy notebook vagy barmi)

( vudumancs | 2023. 04. 20., cs – 13:12 )

Ceges secuirty policy sok helyen ,hogy időnként kötelező a passcode olyankor nem fogadja el a bio azonositást.. :)

Szijártó Zoltán
Aki tud az alkot, aki nem tud az csak szövegel.

( PDA_FAN | 2023. 04. 20., cs – 14:16 )

"Ezután leürítik a bankkártyáit, Apple hitelkártyát rendelnek a nevében...."

Ezt hogyan csinálják? Az Apple Pay nem mutatja a kártya adatokat, csak az utolsó négy számjegyet. A banki appokba meg nem lehet bejutni egy sima teló feloldással - legalábbis nálam nem.

( gelei v | 2023. 04. 20., cs – 14:29 )

Nekem most eszembe jutott még egy probléma, hogy nem lehet a Google/Apple Pay-t letiltani a legtöbb banknál. Ismerősi körből példa, hogy a Google/Apple Pay-es scamet épp külföldön szopta be, így nem olyan triviális megoldás letiltani a kártyát, és megvárni a cserét. Egyértelmű volt, hogy a tokenizált kártyával megy a terhelés, de nem tudta azt mondani az OTP-nek, hogy figyu, használnám tovább a fizikai kártyám, amíg haza nem érek, de a többi csatorna (wallet, főleg) most legyen tiltva.

Ha aktív a kártyád, akkor lehet tokenizálni Apple/Google Pay-be. Ha kell, ha nem.

Ezért célszerű Revolut virtuális kártyákhoz rendelni. Revolut kártyákat bármikor díjmentesen deaktiválni lehet, majd újra aktiválni akár naponta többször is. A Revolut virtuális kártya és magyar bankkártya közötti 3D-S egy plusz védelmi vonal, pláne akkor ha nem ugyanazon a mobilon van a magyar bankos app. 

( hnsz2002 v | 2023. 04. 21., p – 06:15 )

Szerkesztve: 2023. 04. 21., p – 08:58

Szóval azon a passcode-on múlik a fél életetd, ami a legtöbb embernek még mindig 1234, 5555, 8888 és hasonlók? :D

És mindezt a user elményt világ legdrágább telefonjával kapod a világ egyik legnagyobb tech cégétől?

"Sose a gép a hülye."

A másik fél élete(id) meg elbukhatnak:

- ha megb@szódik a password managered
- ha megb@szódik a 2FA alkalmazásod

... ez utóbbit nagyon sokan még mindig úgy tudják hogy csak egy telefonon lehet (pedig nem)

Szép baleset ezeknek a backupja.
Nem véletlen akkora biznisz (és hype) a passwordless auth.

zászló, zászló, szív

( pirate | 2023. 04. 22., szo – 19:29 )

Mivan amugy olyankor, ha az appleID (= email cim) nem olvashato az adott telefonon es a megadott telefonszam sem ahhoz a SIM-hez tartozik ami a mobilban van? Onnantol kezdve joval korlatozottabbak a tolvaj lehetosegei, kizarni semmikeppen sem tudja a tulajt gondolom (esetleg a recovery koddal tud valamit buveszkedni).

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."