Ny stöldtrend i USA av Iphones där tjuvar sett PIN-koden - hur minska risken? (Både Iphone/Android)

Denna tråd är tänkt att handla om några säkerhetsaspekter i både Android och Iphone, jag tänkte att jag lägger den här i "Allmänt" då inget annat delforum kändes bättre.


View: https://www.youtube.com/watch?v=QUYODQB_2wQ&t=1s


Ovan ett klipp från Wall Street Journal, om hur folk i USA blir bestulna på sina Iphones, bland annat i krogmiljö på olika håll i landet. Klippet är ganska tankeväckande, och borde leda till funderingar hos de flesta, oavsett om man har Iphone eller Android.

Då tjuven har sett PIN-koden till Iphonen innan stölden så kan de därefter ta över Apple-kontot, stänga ute offret från sitt hela digitala liv, stjäla pengar från bankappar osv. En av bristerna verkar vara att Apple tillåter att Apple/Icloud-lösenordet ändras direkt från telefonen genom att skriva in PIN-koden (som ju tjuven har lyckats få tillgång till) - ingen annan kontroll görs. Det verkar ju verkligen som en säkerhetsbrist att Apple tillåter ändring av kontolösenordet utan att kräva att t.ex. det gamla lösenordet skrivs in. Lösenordet till kontot är ju ofta längre och svårare, och det skriver man sällan in på krogen - medan PIN-koden använder man hyfsat ofta.
En intervjuad polis säger att 99 % av dessa stölder handlat om Iphones, inte Android. Tjuvarnas mål har främst varit pengar, genom bank-appar på telefonerna. I Sverige har vi ju inte samma problem, tack vara Bank-ID som har en väldigt bra säkerhet och (oftast) ett eget lösenord. I fallen ovan så har bank-lösenord funnits sparade i Apples lösenordshanterare i många fall, som ju tjuven fått tillgång till. Banker i USA skickar även ut sms-koder för inloggning. Med svenska Bank-ID försvinner många såna attackvektorer, då vi varken är beroende av lösenord eller sms-koder för bankinloggning. Då minskar tjuvars incitament att vilja göra den här typen av stölder i Sverige.

Min största fråga blir hur utsatt Android är för liknande attacker, som det i klippet. Mig veterligen så är det inte möjligt att ändra Google-kontots lösenord endast med hjälp av telefonens PIN-kod, utan du behöver som utgångspunkt veta det gamla lösenordet i så fall. I fallet Apple så är det ett enkelt knapptryck, om du vet PIN-koden.
Men så började jag fundera. Många har ju sparat sitt Google-lösenord i lösenordshanteraren i Chrome, som en tjuv kan få tillgång till med hjälp av PIN-koden. Jag har dock inte gjort det, så mitt Google-lösenord är säkert ur den aspekten.
Däremot så har tjuven antagligen tillgång till både sms-appen och mail-inkorgen, så en vanlig "jag har glömt mitt lösenord"-återställning, där man får ett epostmeddelande med en möjlighet att ange ett nytt lösenord, borde vara möjligt på Android. Det tar flera steg, men borde gå, om tjuven är inne i telefonen. Tänker jag rätt? Något som experimenterat med detta, hur lätt är det att ändra Google-lösenordet och vilka säkerhetssteg har Google på vägen, som skulle kunna förhindra attacken?

Det verkar finnas en funktion i Iphone som kräver en kod när skärmen varit påslagen en viss stund, läste jag i en av kommentarerna till youtube-klippet. Hur fungerar den? Hade den ändrat något i ovanstående scenario? Är det en separat kod, eller samma kod som tjuven i detta fallet vet? Jag tänker att en sån funktion kunde inneburit att tjuvarna bara har t.ex. 5 minuter innan telefonen låser sig. Har Android en liknande funktion?

Tjejen i klippet verkar inte ha fått tillbaka tillgången till sitt Icloud efter att tjuvarna tog det, vilket låter konstigt. Någon som förstår varför? Jag skulle tänka att hon, när hon fått tillgång till sitt telefonnummer och sin epostadress igen, borde kunna bevisa på något sätt att kontot tillhört henne i 15 år. Det där är ju lite obehagligt iaf. Något man kan göra för att säkerställa att man verkligen får tillbaka kontot i en sådan situation? Google har väl varit svåra med sånt i vissa fall också.

Övriga tankar?
De viktigaste lärdomarna tänker jag är:
-Om du blir bestulen, ha en plan redo sedan innan hur du snabbt ska låsa telefonen och stänga ute en angripare. Till exempel använda en kompis telefon, logga in i Hitta min enhet-tjänsten som både Android och Apple har, och låsa telefonen. För de som har 2FA gäller det att fundera kring hur du tar dig förbi det, t.ex. mitt i natten ute på stan. Jag har angett några bekantas telefonnummer som reserv för 2FA, som exempel.
-Ange inte din PIN-kod till telefonen publikt. Behandla den som en PIN-kod för bankkortet, håll en hand i vägen eller liknande.
-Kolla igenom din lösenordshanterare, sätt ett separat lösenord för den om möjligt. Det kan vara smart att ta bort vissa lösenord därifrån, såsom Google-kontots lösenord (eller lösenord till bankappar, om man bor i ett sådant land).

Någon annan lösning, går det t.ex. att lösenords-skydda vissa särskilda strategiska appar, hur i så fall? Jag har aldrig riktigt litat på tredjepartsappar som gör den saken. Men jag tänker att en kod för mejl-appen och några andra strategiska appar kunde vara ett bra skydd.

Till sist, fingeravtryck eller Face ID hade väl förhindrat en stor del av scenariot som beskrivs i filmen. Men jag är lite skeptisk till de metoderna, då man med tvång eller otillbörliga metoder kan tvingas logga in med sitt ansikte eller fingeravtryck mot sin vilja. PIN-kod kan man ju tvinga sig själv att hålla tyst om. Fingeravtryck har dessutom haft en säkerhetsbrist i min Pixel 6a för ett halvår sedan ungefär, så jag stängde av det. Jag kommer nog fortsätta med PIN-kod, och se till att skydda den bättre. Hur tänker ni andra?

 

Tänker att det är en försvinnande liten del av användarna som faktiskt använder pinkod istället för fingerprint eller face-id, så nyheten känns väldigt krystad.

 

Som jag skrev i sista stycket i trådstarten, jag vill inte använda fingeravtryck eller ansiktsigenkänning, bland annat av de skäl jag skrev där. De metoderna är knappast idiotsäkra, snarare tvärtom i vissa fall.

Att det skulle vara en "försvinnande liten andel" som använder pin-kod, tror jag inte alls på. Där får ni gärna plocka fram statistik. Min bild är att ganska många använder pin-kod som sin huvudsakliga upplåsningsmetod. Bland annat då det faktiskt är standardmetoden som anges.

Och vid de tillfällen fingeravtryck eller ansiktsigenkänning strejkar, vilket kan vara fallet i vissa miljöer, då är det ju pin-kod som blir ens "fallback". Har man då otur så kan man bli offer för ovanstående metoder just i en sådan situation, så jag tycker knappast det är vettigt att nonchalera de säkerhetsbrister som tas upp i reportaget. Tvärtom bör varje användare fundera igenom de sakerna, och hur man ska minska risken för att något sådant händer en själv - eller någon liknande attack mot en själv. Bedragare blir skickligare och skickligare, och de är kreativa.

 

Ser dagligen hur naiva människor låser upp sin iPhone med pinkod helt öppet.
För att byta pinkod skulle man helst behöva logga in på sitt iCloud-konto.

 

Har en pin-kod för att låsa upp mobilen. Sen en annan kod för skärmlåset.
Har en alternativ lågbudget android mobil med refillkort som jag brukar ta med till krogmiljöer.

Inte så stöldbegärlig som ett nytt flaggskepp heller. Hänger inte in jackan i krogen såvida inte det är en bevakad garderob.
Sen ser man ju till att ingen tittar över axeln om man låser upp mobilen utan har den mer skyddad.

 

Man måste inte ha pin, du kan ha mönster på Android istället.

 

Mönster är nästan ännu enklare att se när någon använder för upplåsning, inte minst om man lagt in att visa spår på mönstret.

 

Vill man byta lösenord i Google-kontot räcker det ju att ha tillgång till telefonen.
Bara att välja "glömt lösenord" och sedan välja "annat sätt" så ska man bekräfta på sin telefon, och då får man byta lösenord till kontot.

 

Tror oerhört många använder mönster för att låsa upp, pinkod är nog mer ovanligt. Men låser man upp med mönster kommer man ju åt epost och sms vilket ofta räcker för att ta över allt mer eller mindre (undantaget bank-id etc som har egna verifieringar).

Hur är det med appar som lastpass, authenticator, etc, kommer man åt dem med pin/mönster istället för lösenord/fingeravtryck/liknande?

Klassikern för iphone är väl f.ö att man lånar ut luren/plattan till ungen, och ger dem pinkoden "för att låsa upp skärmen", sedan kan vad som helst hända med både konton och köp.

 

Fast behöver man inte iCloud-lösenordet för återställning/borttagning av konto och köp osv? Det räcker inte med lösenkod/PIN? Eller har jag blivit trollad av Apple?

Mina barn kan PIN till paddorna men behöver lösenord för köp osv men det har jag nog ställt in för säkerhets skull kom jag på..

 

Face ID löser problemet på iPhone. Enda tillfället när jag tvingats använda PIN-kod senaste fem åren är när jag använt telefoner med dåliga fingeravtrycksläsare.

Generellt måste gemene man utbildas bättre i säkerhetsriskerna som en mobiltelefon medför. Skriver man in PIN-kod på allmän plats måste man skydda inmatningen på samma sätt som man gör i en bankomat eller kortterminalen i butiken. Kommer nån över mobilen och koden får det enorma konsekvenser.

Enkelt. Titta inte på telefonen så låser den inte upp sig. Så funkar det med Face ID iaf och det är svårt för en angripare att tvinga dig att titta åt ett speciellt håll. Efter ett par felaktiga upplåsningsförsök med Face ID så krävs PIN-kod för upplåsning.

Om nån med våld försöker få en person att låsa upp en telefon är Face ID lika säkert som PIN-kod. Men risken är väl rätt stor att man går med på angriparens krav för att slippa få stryk.

Fingeravtrycksläsare har sämst säkerhet av alla tillgängliga metoder, både tekniskt och ur angreppssynpunkt.

 

Ett generellt tips är ju också att aldrig ha samma PIN till telefon och BankID men det är väl ganska självklart.

 

Men hur ofta startar man om telefonen tänker jag. Är men tvungen att göra det på allmän plats får man väl vidta säkerhetsåtgärder när man knappar in den.

 

En gång om dagen när man ruttnat på att AOD inte funkar som det ska.

 

Och det kan du inte göra på en säker plats då?