Schlagwort: Apple

Ist Apples Face ID doch unsicher? Sohn entsperrt iPhone X der Mutter

17. November 2017

Nach dem Verkaufsstart vor wenigen Wochen ist Apples neuester Smartphone-Streich, das iPhone X in aller Munde. Aufgrund des Wegfalls des allseits bekannten Home-Buttons sorgt vor allem Apples neue Entsperrmethode „Face ID“ für Aufsehen, die dem Nutzer die Möglichkeit gibt, sein iPhone mittels Gesichtserkennung zu entsperren. Sensoren am oberen Bildschirmrand scannen dabei das Gesicht und die Gesichtszüge des Nutzers und erkennen ihn wieder. Bei der Präsentation des iPhones hatte Apple dabei versichert, dass Face ID dabei sicherer sei als der Fingerabdruckssensor, der bei vorherigen Modellen zum Einsatz kam. Insbesondere versicherten sie, dass die Sensoren nicht durch ein Foto des Nutzers oder eine Maske überlistet werden könne.  Kritiker hatten bereits nach der Ankündigung ihre Zweifel an der Sicherheit des neuen Features. Bereits vor kurem haben vietnamesische Sicherheitsforscher es nach eigenen Angaben geschafft, Face ID mit einer Maske auszutricksen.

Ein Artikel des Magazins „Wired“ bestätigte nun diese Zweifel mit einem Bericht über einen kuriosen Einzelfall. Wie eine Familie in New York feststellen musste, gewährt Face ID in bestimmten Fällen Kindern den Zugang zum iPhone X der Eltern. Der zehnjährige Sohn konnte das neu eingerichtete Handy der Mutter unmittelbar und mehrmals mit seinem Gesicht öffnen. Auch das iPhone X des Vaters habe der Sohn – auch wenn nur einmalig – entsperren können.

Bereits zuvor hatten mehrere Geschwisterpaare berichtet, dass sie in der Lage seien, das iPhone X des Bruders oder der Schwester zu entsperren. Der Grund hierfür sei, dass nach Fehlversuchen der Code eingegeben wird und durch diesen Prozess Face ID kleine Änderungen an dem zuerst gescannten Gesicht vornimmt. Face ID lernt also, um weitere Fehlversuche im Laufe der Zeit weiter auszuschließen.

Apple gibt an, dass die Wahrscheinlichkeit, dass eine andere Person das iPhone X entsperren kann bei 1:100.000.000 liege. Bei Zwillingen oder ähnlich aussehenden Geschwistern sei die Wahrscheinlichkeit „anders“. Dies gelte auch für Kinder unter 13 Jahren, da deren Gesichtszüge noch nicht voll entwickelt sind.

Aus datenschutzrechlticher Sicht kann das Anlernen bzw. Ausbessern des Scans nach einem Fehlversuch eine Sicherheitslücke darstellen. Es ist daher anzuraten, in jedem Fall einen sicheren Code zu verwenden und vertrauliche Daten auf dem iPhone besonders vor dem Zugriff durch Unbefugte zu schützen.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

One more thing – Apple präsentiert Face ID

13. September 2017

Auf der diesjährigen Keynote hatte Apple-Chef Tim Cook neben dem iPhone 8 noch ein weiteres Highlight zu präsentieren: Als „one more thing“ wurde das Jubiläumsmodell iPhone X vorgestellt.
Beim iPhone X fällt direkt auf den ersten Blick auf, dass das Display nahezu die komplette Vorderseite bedeckt. Platz für den typischen Apple Home-Button, in dem bei den Vorgängermodellen unter anderem der Fingerabdrucksensor für die Touch-ID integriert war, bleibt da nicht mehr. Anders als bei Modellen der Konkurrenz verschiebt Apple diesen Sensor jedoch nicht auf die Rückseite des iPhones, sondern ersetzt ihn durch eine komplett neue Technologie. Das iPhone X wird nicht mehr mit einem Fingerabdruck, sondern mittels Gesichtserkennung (Touch ID) entsperrt. In Zukunft legt der Nutzer zum Entsperren also nicht mehr seinen Finger auf den Home-Button, sondern er schaut sein iPhone X einfach an. Neben der Entsperrung soll die Face ID unter anderem auch für andere Dienste wie etwa Apple Pay benutzt werden.

Um die Gesichtserkennung zu ermöglichen, hat Apple in der oberen Leiste des iPhone X verschiedene Hardwarekomponenten verbaut. Das von Apple TrueDepth genannte System zur Gesichtserkennung besteht aus einer Frontkamera, einem Projektor, einer Infrarotkamera, Licht zum Beleuchten des Gesichts, einem Näherungssensor und einem Umgebungslichtsensor. Über den Projektor werden etwa 30000 unsichtbare Punkte auf das Gesicht des Nutzers projiziert und anschließend mithilfe der Kamera und den verschiedenen Sensoren ausgelesen. Dank des Infrarotsensors soll dies auch im Dunklen funktionieren. Aus diesen Informationen errechnet der im iPhone X verbaute A11 Bionic genannte Prozessor dann ein mathematisches Modell des Gesichts und speichert dieses. Zum Entsperren, oder für die Nutzung der anderen Funktionen der Face ID, wird das neu errechnete Gesichtsmodell mit dem gespeicherten Modell abgeglichen. Erst bei einer entsprechenden Übereinstimmung soll die Funktion aktiviert bzw. freigegeben werden. Nach Angaben von Apple soll der Prozessor sogar in gewisser Weise lernfähig sein und erkennen, ob der Nutzer eine Mütze trägt oder sich einen Bart hat wachsen lassen.

Um die Sicherheit der bei der Nutzung von Face ID erfassten Daten zu gewährleisten, setzt Apple, wie schon bei den Fingerabdrucksensoren, auf Secure Enclave als Sicherheitsarchitektur. Hierbei handelt es sich um einen speziell geschützten Bereich im A11, in dem die biometrischen Gesichtsdaten gespeichert werden. Darüber hinaus speichert Apple für die Face ID kein Foto, sondern nur ein mathematisches Modell des Gesichts. Nach Angaben von Apple soll es selbst beim Knacken der Sicherheitsmechanismen von Secure Enclave nicht möglich sein, dieses mathematische Modell in ein Gesicht zurück zu überführen. Zum Schutz der Privatsphäre des Nutzers werden die biometrischen Daten auch nicht in die Apple-Cloud übertragen. Sie landen also nicht auf den Servern von Apple, sondern verbleiben lokal auf dem jeweiligen Gerät gespeichert. Damit die Gesichtserkennung nicht unbeabsichtigt oder unbemerkt durch Dritte ausgelöst werden kann, erfordert das System vom Nutzer die volle Aufmerksamkeit. Die Gesichtserkennung soll sich nur dann fehlerfrei durchführen lassen, wenn der Nutzer mit offenen Augen auf das iPhone X guckt.

Inwiefern Face ID die Sicherheitsstandards einhält, die Apple verspricht, wird sich ab dem Verkaufsstart im November zeigen. Es ist davon auszugehen, dass sich ab diesem Zeitpunkt Biometrie-Experten und Hacker dem iPhone X annehmen und versuchen werden, die Gesichtserkennung zu überlisten oder sie zu umgehen. Aktuell laufen unter Experten schon die ersten dahingehenden Wetten, ob Face ID auf dem 34. Chaos Communication Congress im Dezember oder schon früher gehackt werden wird.

Kategorien: Allgemein
Schlagwörter: , , ,

iCloud-Account Fernlöschung durch Erpresser am 7.April 2017

29. März 2017

Unbekannte Erpresser drohen Apple, dass sie iCloud-Accounts aus der Ferne löschen, wenn Apple die geforderte Summe in bitcoins nicht zahlt.

Die Erpresser nennen sich “Turkish Crime Family“ und behaupten sie seien im Besitz von mehreren hundert Millionen iCloud-Zugangsdaten, wie ZDNet berichtet.

Mit Hilfe dieser Zugangsdaten lässt sich die iCloud-Fernortungsfunktion aktivieren. Durch diese Funktion lassen sich Apple-Geräte orten, aus der Ferne sperren und löschen. Wie die Angreifer an diese Daten gekommen sind ist fraglich, denn Apple betonte bereits, dass kein Einbruch in iCloud vorliegt. Allerdings lässt sich die Echtheit anhand einer übermittelten Liste überprüfen.

Was kann der Apple-Nutzer, gegen die Ankündigung der Erpresser eine Fernlöschung des iCloud-Accounts am 7.April vorzunehmen, tun?  Die Nutzer sollten das Passwort ihrer Apple-ID ändern und kein Passwort benutzen, dass sie bereits anderswo nutzen. Zudem sollte das iOs-Backup auf den aktuellsten Stand gebracht werden, sodass falls etwas passiert die gelöschten Daten wieder aufgespielt werden können. Außerdem kann die Funktion “Mein iPhone suchen“ abgeschaltet werden. Das führt zwar dazu, dass das iPhone nicht mehr von Dritten gelöscht werden kann, aber auch der Nutzer selbst kann es im Falle eines Verlustes nicht mehr aufspüren und aus der Ferne löschen.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

14. Oktober 2015

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

Fingerabdruckscan von Androidgeräten bedingt Sicherheitsbedenken

13. August 2015

Die von Android angebotene Fingerabdruck-Technologie wird nach einem Bericht von Spiegel-Online von IT-Spezialisten als unsicher eingestuft. So seien die sensiblen biometrischen Daten der Nutzer, etwa auf dem HTC One Max, unverschlüsselt auf dem Gerät gespeichert und somit für alle Apps relativ problemlos auslesbar. Den Fachkräften gelang es mehrere Fingerabdrücke zu kopieren, was als kritscheres Sicherheitsrisiko angesehen wurde, als etwa das Ausspähen eines Passwortes.

Anders verhielt sich das Thema bei Apple-Produkten. Diese seien weitgehend sicher. Die Daten würden hier unmittelbar nach dem Erfassen verschlüsselt und seien so vor unrechtmäßigen Zugriffen oder Nutzungen ausreichend gesichert.

Kategorien: Mobile Business
Schlagwörter: , , ,

Videoüberwachung: Apple muss Schmerzensgeld zahlen

14. August 2014

Apple hat seine Mitarbeiter illegal mit Videokameras überwacht, nun muss die Apple Retail Germany GmbH, die Apples Läden betreibt, dafür Schmerzensgeld an einen Betroffenen zahlen. Dies hatte das Arbeitsgericht Frankfurt am Main bereits im November 2013 entschieden – jetzt ist das Urteil rechtskräftig (Az.: 22 Ca 9428/12).  Dem Betroffenen stehen damit 3.500 Euro zu.

Der ehemaliger Mitarbeiter aus dem Apple-Store in Hamburg, der sich im Store als „Genius“ um defekte Apple-Geräte kümmerte, hatte gegen die Überwachung geklagt. Der Arbeitsplatz des Technikers befand sich im so genannten „Back of House“. An der Decke dieser hinteren Räume befanden sich kugelförmige Überwachungskameras, die auch Arbeitsplätze und Pausenbereiche im Blick hatten. Ihre Bilder wurden auf Festplatten gespeichert und konnten im Zweifel auch extern abgerufen werden. Laut Apple sind entsprechende Kameras in allen Stores weltweit installiert. Das Unternehmen argumentiert, das sei notwendig, um Diebstahl und andere Straftaten aufzuklären und zu verhindern.

Das Arbeitsgericht wertete dieses Vorgehen dageben als „erheblichen Eingriff in das allgemeine Persönlichkeitsrecht“. Das deutsche Datenschutzgesetz erlaube keine dauerhafte Überwachung von Arbeitsplätzen, argumentierte die Richterin in einem Bericht von Zeit Online. Die Rechte der Menschen wiegten in dem Fall höher als der Wunsch des Unternehmens, seine Investition zu schützen. Dass die Arbeit der Mitarbeiter nicht aufgrund der Videos beurteilt werde, spiele dabei keine Rolle. Denn solche Kameras „seien geeignet, bei den betroffenen Personen einen psychischen Anpassungsdruck zu erzeugen, durch den sie in ihrer Freiheit, aus eigener Selbstbestimmung zu planen und zu entscheiden, wesentlich gehemmt würden“.

Die Kameras im Hamburger Apple-Stores sind inzwischen so eingerichtet, dass sie die Arbeitsplätze nicht mehr direkt überwachen. Hinsichtlich anderer Standorte hat Apple allerdings nicht erkennen lassen, dass es Änderungen vornehmen möchte. Möglichkeiten, gegen die Überwachung vorzugehen, gibt es dennoch: Das vorgenannte Urteil bietet grundsätzlich für Landesdatenschutzbehörden genug Anlass, von Amts wegen tätig zu werden, wenn sich Läden in ihrem Zuständigkeitsbereich befinden.

Apple: Patent für Patientenarmband angemeldet

7. August 2014

Das US-amerikanische Unternehmen Apple hat Medienberichten zufolge ein Patent für ein wegwerfbares Patientenarmband angemeldet, das sich selbst mit Energie versorgen und Gesundheitsinformationen auf das Smartphone des behandelnden Arztes übermitteln kann. Das US-Patent beschreibe ein “autonomes Kommunikationsgerät im Mikrowellen-Frequenzbereich”, das in Objekte wie Armbänder, Broschüren oder Plastikkarten eingebettet werden könne. Seinen Strombedarf soll es durch ein Energy-Harvesting-System aus der Umgebungsenergie decken. Das Gerät könne außerdem über Sensoren verfügen, die beispielsweise gesundheitsbezogene Werte (z.B. Körpertemperatur oder Pulsschlag) messen. Denkbar sei zudem, gespeicherte Informationen zum Abruf bereitzuhalten, wie z.B. Krankenblätter oder Angaben zu verabreichten Medikamenten und Behandlungen, die während eines Krankenhausaufenthalts durchgeführt wurden.

 

BSI: Warnung vor Sicherheitslücke in Apple iTunes

21. Mai 2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in iTunes, durch die lokale Angreifer durch eine Rechteveränderung beim Benutzer-Ordner sämtliche anderen Benutzerkonten auf dem jeweiligen Mac einsehen und modifizieren können. Das Sicherheitsrisiko bestehe bei iTunes bis zu Version 11.2 in Verbindung mit Mac OS X ab 10.6.8. Den Anwendern wird ein Update auf die aktuellste iTunes Version 11.2.1 empfohlen.

Kategorien: Allgemein
Schlagwörter: , , ,

E-Mail-Anbieter behalten sich Mitlesen von Nachrichten vor

2. April 2014

Medienberichten zufolge hat Microsoft E-Mails auf Hotmail-Servern durchleuchtet, ohne dass dafür ein Gerichtsbeschluss vorlag. Ein Konzernmitarbeiter hatte Informationen über das Betriebssystem Windows 8 an einen Blogger weitergegeben. Dadurch, dass Microsoft eigenmächtig E-Mails des Mitarbeiters bei Hotmail gescannt hat, konnte dieser überführt werden. Es entsteht aber ein fader Beigeschmack, ob der Zweck die Mittel heiligt.

Microsoft argumentiert mit seinen Nutzungsbedingungen, die vorsehen, dass E-Mails von Hotmail ohne richterlichen Beschluss durchsucht werden können. Damit sei Microsoft aber nicht alleine, wie Heise Online schreibt. Auch Apple, Google und Yahoo behalten sich einen solchen Eingriff in ihren Nutzungsbedingungen vor, zum Beispiel um technische Probleme zu bearbeiten aber auch um mögliche Sicherheitsrisiken zu erkennen, also präventiv. Auch die Weitergabe der Inhalte an Dritte behalten sich einige Anbieter in ihren Nutzungsbedingungen vor.

Ein zweiter fader Beigeschmack dieses Vorgehens entsteht, wenn man bedenkt, dass Microsoft im NSA-Skandal mehr Transparenz bei der Internetüberwachung gefordert hat und darüber hinaus den Konkurrenten Google wegen E-Mail-Scannens zu Werbezwecken kritisiert hat.

Wie Heise Online schreibt, will Microsoft in Zukunft einen Transparenzbericht zu solchen Verfahren vorlegen.

 

US-Regierung reagiert auf Spionage-Affäre

14. August 2013

Dem Handelsblatt zufolge, haben die USA eine Expertenkommission aus unabhängigen Fachleuten eingesetzt, um die in der Kritik stehende Überwachungstechnologie der US-Geheimdienste genauer zu analysieren. Überprüft wird vor allem die bisherige Praxis der elektronischen Datensammlung und in welchem Verhältnis dies zur nationalen Sicherheit zu sehen ist. Denn Außenpolitisch leidet das Ansehen der USA seit Bekanntwerden der Spähaktionen gewaltig. Deshalb zeigt auch Präsident Barack Obama Initiative und sprach vergangene Woche mit Apple und Google über den Datenschutz, wie das Handelsblatt mitteilte. Es ging vor allem darum, wie Datenschutz und nationale Sicherheit in Einklang zu bringen sind und um die Konsequenzen aus den Enthüllungen zu den Spionageaffären.

Erst im Juli berichtete die Süddeutsche Zeitung, dass NSA und FBI sogar die Server sämtlicher großen US-Internetkonzerne wie Google, Apple, Yahoo, AOL, Skype, YouTube und Microsoft  durchsuchen  und damit die Internetpräsenz von Nutzern überwachen und auf deren persönliche Daten zugreifen kann. Besonders brisant, es soll sich dabei nicht um Daten von US-Bürgern, sondern  auch um Daten von Ausländern handeln. NSA-Direktor Keith Alexander zufolge, sei es den Firmen gesetzlich vorgeschrieben mit den Geheimdiensten zu kooperieren. Das Projekt Prism finde seine Legitimation im Protect America Act, der unter der Präsidentschaft von George W. Bush am 11.09.2007 verabschiedet wurde. Heise brachte es in einem Bericht aus dem selben Jahr bereits auf den Punkt: „Damit kann die NSA praktisch alle Kommunikation auch der Amerikaner überwachen“.

Wie Süddeutsche.de schreibt, wehren sich jedoch die genannten Unternehmen gegen die Behauptung, dass die NSA direkten Zugriff auf ihre Server habe.

1 2 3