Vor knapp zwei Wochen hatte ich über den Start einer neuen "Aktivierungssperre entfernen" Webseite berichtet, die Apple in den USA ins Leben gerufen hatte, über die man die Aktivierungssperre eines iPhone schnell und einfach deaktivieren kann, ohne sich hierzu erst wie bislang in einen Apple Store begeben oder einen Support-Mitarbeiter per Telefon, E-Mail oder Chat kontaktieren zu müssen. Über diese Webseite müssen verschiedene Informationen bereitgestellt werden, darunter eine gültige E-Mail Adresse, die Seriennummer des Geräts, das ursprüngliche Kaufdatum, den Händler, wo man das Gerät gekauft hat und idealerweise auch ein Foto des Kaufbelegs. Auf Basis dieser Informationen wird der Antrag dann bearbeitet, eine Fallnummer erzeugt und der Antragsteller per Mail auf dem Laufenden gehalten.

Inzwischen steht diese Webseite nun auch in Deutschland zur Verfügung und kann demzufolge auch hierzulande genutzt werden, um eine Aktivierungssperre von einem iPhone entfernen zu lassen. Dies kann zum Beispiel notwendig sein, wenn man sein iPhone verkauft und vergessen hat, die Sperre zu entfernen oder das iPhone zurückzusetzen. Grundsätzlich wird die Aktivierungssperre automatisch gesetzt, sobald man die "Wo ist?" Funktion aktiviert. Sollte Apple die Aktivierungssperre auf Geheiß des Besitzers auf dem Gerät aufheben, werden sämtliche darauf gespeicherten Daten gelöscht. Ein weiterer Grund also, regelmäßig Backups anzufertigen. Das Deaktivieren der Aktivierungssperre kann künftig über die neue Webseite auch hierzulande online geschehen.

Nicht nur in Sachen Malware für M1-Macs scheint Apple am Wochenende in sicherheitstechnischer Hinsicht aktiv gewesen zu sein, auch eine Sicherheitslücke in iCloud konnte man offensichtlich erfolgrecih stopfen. So erklärte der Sicherheitsforscher Vishal Bharad in einem Blogpost (via ZDNet), dass er die Lücke entdeckt und Apple entsprechend informiert habe. Offenbar war es durch einen Bug möglich, einen Virus oder einen Schadcode in die iCloud-Webseite einzuschleusen. Hierzu wurde ein Pages- oder Keynote-Dokument auf der ?iCloud?-Website erstellt, dessen Dateiname einen XSS-Payload enthält. Teilt man dieses Dokument anschließend mit einem anderen Nutzer, ändert und speichert das Dokument anschliend wieder und klickt dann auf "Browse All Versions", wäre der XSS-Payload ausgeführt worden.

Offenbar hat Apple die Lücke inzwischen serverseitig geschlossen. Den Angaben von Bharad zufolge, hat der Sicherheitsforscher Apple am 07. August vergangenen Jahres über seine Entdeckung informiert und dafür von dem Unternehmen eine Belohnung in Höhe von 5.000,- US-Dollar im Rahmen von Apples "Security Bounty Program" erhalten.

Ich hoffe, dass bislang noch niemand vom sogenannten "Activation Lock" (zu Deutsch "Aktivierungssperre") seines iPhone Gebrauch machen musste. Hierbei handelt es sich um eine Funktion, mit der man sein iPhone per iCloud sperren kann, falls man es verloren haben oder es gestohlen worden sein sollte. Auf diese Weise kann man verhindern, dass jemand anderes dieses iPhone, aber auch ein iPad oder einen iPod touch in diesem Fall verwenden kann. Hierzu wird püber die iCloud-Webseite eine PIN-Sperre gesetzt und man kann auch eine Nachricht auf dem Display anzeigen lassen, um dem Finder Informationen mitzuteilen, wie er das Gerät zurückggeben kann. Selbst wenn das Gerät zurückgesetzt worden sein sollte, wird dank Activation Lock die Apple ID und das zugehörige Passwort benötigt, um es wieder aktivieren zu können. Die Aktivierungssperre wird automatisch gesetzt, sobald man die "Wo ist?" Funktion aktiviert.

In den USA hat Apple nun eine neue "Turn off Activation Lock" Webseite ins Leben gerufen, über die man den Activation Lock nun auch wieder deaktivieren kann, ohne sich hierzu erst wie bislang in einen Apple Store begeben oder einen Support-Mitarbeiter per Telefon, E-Mail oder Chat kontaktieren zu müssen. Über diese Webseite müssen dann verschiedene Informationen bereitgestellt werden, darunter eine gültige E-Mail Adresse, die Seriennummer des Geräts, das ursprüngliche Kaufdatum, den Händler, wo man das Gerät gekauft hat und idealerweise auch ein Foto des Kaufbelegs. Auf Basis dieser Informationen wird der Antrag dann bearbeitet, eine Fallnummer erzeugt und der Antragsteller per Mail auf dem Laufenden gehalten. Sollte Apple den Activation Lock auf dem Gerät aufheben, werden sämtliche darauf gespeicherten Daten gelöscht. Ein weiterer Grund also, regelmäßig Backups anzufertigen.

Das Deaktivieren der Aktivierungssperre kann zum Beispiel notwendig sein, wenn man sein iPhone verkauft und vergessen hat, die Sperre zu entfernen oder das iPhone zurückzusetzen. Künftig kann dies also über die neue Webseite auch online geschehen.

Erst gestern hatte ich vermeldet, dass Apple iCloud für Windows in Version 12.0 veröffentlicht hat, in dem unter anderem eine Erweiterung steckte, mit der sich in iCloud gespeicherte Passwörter auch über den Chrome-Browser nutzen lassen. Die Synchronisierung funktioniert dabei in beide Richtungen, so dass bei installierter Erweiterung auch Passwörter, die fortan in Chrome unter Windows erstellt werden, im iCloud Schlüsselbund gespeichert werden und somit anschließend auch in Safari auf dem iPhone, iPad und Mac bereitstehen. Ein wenig überraschend und ohne Begründung hat Apple dieses Update für iCloud für Windows 12.0 nun wieder zurückgezogen.

Während Apple selbst sich bisland nicht zu dem Vorgang geäußert hat, findet man im Netz verschiedene Berichte von Nutzern, laut denen die neue Chrome-Erweiterung in vielen Konfigurationen ohne Funktion blieb und unter anderem auch zu Problemen mit Apples Zwei-Faktor-Authentifizierung führte. Bleibt zu hoffen, dass Apple die Probleme kurzfristig in den Griff bekommt und eine neue Version veröffentlicht.

Windows-Usern, die als Browser auf Google Chrome setzen, steht eine neue Erweiterung zur Verfügung, die Apple heimlich, still und leise in der vergangenen Nacht veröffentlicht hat. Dabei handelt es sich um eine Erweiterung, mit der sich in iCloud gespeicherte Passwörter über den Chrome-Browser nutzen lassen. Die Erweiterung kommt im Zusammenhang mit iCloud für Windows in Version 12.0 auf die Rechner. Nach dessen Installation findet man in der Liste der verfügbaren Dienste einen neuen "Passwörter"-Bereich über den sich ein Dialog öffnen lässt, mit dem man die Erweiterung in Chrome installieren kann. Apple schreibt dazu:

iCloud Passwords allows you to use the same strong Safari passwords you create on your Apple device, with Chrome on Windows.

Die Synchronisierung funktioniert dabei in beide Richtungen, so dass bei installierter Erwieterung auch Passwörter, die fortan in Chrome unter Windows erstellt werden, im iCloud Schlüsselbund gespeichert werden und somit anschließend auch in Safari auf dem iPhone, iPad und Mac bereitsetehen.

Die Gerüchte haben sich bestätigt und Apple hat am heutigen Abend drei Bundles seiner digitalen Dienste unter dem Namen "Apple One" vorgestellt. In den drei verschiedenen Varianten sind jeweils unterschiedliche Dienste zu unterschiedlichen Preisen enthalten. Das "Individual" Bundle enthält Apple Music+, Apple TV+, Apple Arcade und 50 GB iCloud-Speicher für € 14,95 im Monat. Hierfür gibt es auch eine Familien-Option mit denselben Diensten und 200 GB iCloud-Speicher für € 19,95 im Monat. In der "Premier"-Option sind neben den genannten Diensten auch noch Apple News+, Apple Fitness+ und 2 TB iCloud-Speicher enthalten. Hier zahlt man dann im Monat 29,95 US-Dollar und es kann von bis zu sechs Familienmitgliedern genutzt werden. Einen Euro-Preis gibt es für das Premier-Bundle nicht, da es wegen der Nicht-Verfügbarkeit von Apple News+ hierzulande zunächst nicht erhältlich sein wird.

Am morgigen Dienstag steht das erste der diesjährigen Apple-Events auf der Agenda und es wird dabei vermutlich vorrangig um die Vorstellung der Apple Watch Series 6 und des iPad Air 4 gehen. Möglicherweise nutzt Apple die Gelegenheit aber auch, um das schon seit längerer Zeit gemunkelte Bundle aus verschiedenen seiner digitalen Dienste zu lancieren. Zumindest mehren sich in letzter Zeit die Hinweise darauf, dass es tatsächlich kommen wird. So haben zunächst die Kollegen von 9to5Google im Quellcode der Apple Music App für Android einen eindeutigen Textbaustein entdeckt, der das Bundle unter dem erwarteten Namen "Apple One" eindeutig referenziert und dabei auch bestätigt, dass Apple Music Teil des Bundles sein wird:

Your Apple Music subscription will be included in Apple One starting %s. You will not be charged for both subscriptions.

You can manage your Apple One subscription using your iPhone, iPad, Apple TV or Mac.

Kurz nach dem Fund legten dann auch die Kollegen von 9to5Mac nach und entdeckten ähnliche Referenzen auch im Code von iOS. Dort heißt es unter anderem "Cancel Apple One", "Keep Apple One" oder "You can unsubscribe from Apple One and keep only what you want." Zudem fanden die Kollegen von MacRumors heraus, dass sich Apple verschiedene Internet-Domains mit einem Bezug zu Apple One in der URL gesichert hat. Hierzu zählen:

• appleone.audio
• appleone.blog
• appleone.chat
• appleone.cloud
• appleone.club
• appleone.community
• appleone.film
• appleone.guide
• appleone.host
• appleone.space
• appleone.tech
• appleone.website

Angeblich soll Apple verschiedene seines "Apple One" Bundles in der Schublade haben, wobei die günstigte Version aus Apple Music und Apple TV+ bestehen, eine weitere Variante zusätzlich das bei uns nach wie vor nicht verfügbare Apple News+ mitbringen soll. Eine weitere High-End Variante könnte zudem Apple Music, Apple TV+, Apple Arcade, Apple News+, iCloud-Speicherplatz und einen bislang noch nicht vorgestellten Fitness-Dienst als Bundle anbieten. Die Preise würden dann entsprechend gestaffelt sein.

Zuletzt hatte Bloomberg berichtet, dass das Bundle im Oktober, dann vermutlich gemeinsam mit den neuen iPhones an den Start gehen soll. Möglicherweise nutzt Apple aber auch bereits das morgige Event.

Eine der spannenden, jedoch bislang eher weniger beachteten Neuerungen der im Herbst erscheinenden großen Betriebssystem-Updates betrifft den iCloud-Schlüsselbund. Hierin lassen sich künftig nicht nur sicher die eigenen verwendeten Passwörter speichern und per iCloud auf alle genutzten Apple-Geräte synchronisieren, eine neue Funktion warnt künftig den Nutzer auch, sollten die gewählten Passwörter unsicher sein oder bei einem Sicherheitszwischenfall in der Vergangenheit kompromittiert worden sein. Auf diese Weise soll sichergestellt werden, dass man stets Passwörter verwendet, die noch nicht bekanntgeworden und so sicher sind, dass sie bedenkenlos für die Anmeldung auf Webseiten oder bei Apps genutzt werden können.

Teilweise sind die Funktionen auch bereits in den aktuellen Betriebssystemversionen enthalten. Ab dem Herbst werden sie jedoch deutlich offensiver von Apple eingesetzt. Zu den bei zu einfachen Passwörtern angezeigten Warnungen gehören:

• Dieses Passwort wird von vielen Nutzern verwendet und ist hierdurch leicht zu erraten.
• Dieses Passwort ist leicht zu erraten.
• Dieses Passwort enthält die Zeichenfolge "123". Einfache Zeichenfolgen sind leicht zu erraten.

Komplett neu ist indes eine Überprüfung, ob das verwendete Passwort bei einem Datendiebstahl in der Vergangenheit in falsche Hände geraten ist. Hier zeigt Apple künftig eine Warnung an, die die Nutzer darauf hinweist, dass man sich besser ein neues Passwort ausdenken sollte.

Apple beschreibt die neue Funktion, die auch in macOS Big Sur enthalten ist, auf der Preview-Seite zu iOS 14 mit den folgenden Worten:

Safari securely monitors your saved passwords, automatically keeping an eye out for passwords that may have been involved in a data breach. To do this, Safari uses strong cryptographic techniques to regularly check derivations of your passwords against a list of breached passwords in a secure and private way that doesn’t reveal your password information — even to Apple. If Safari discovers a breach, it can help you upgrade to Sign in with Apple when available, or automatically generate a new secure password.

In diesem Zusammenhang sei zudem noch eine Leseempfehlung ausgesprochen. Die Kollegen von TechCrunch haben kürzlich die Hintergründe der bekannten Webseite Have I Been Pwned beleuchtet, auf der Nutzer prüfen können, ob ihr Konto in der Vergangenheit von einem Datendiebstahl betroffen gewesen ist. Zwar gibt Apple nicht an, woher die Daten stammen, auf die der iCloud-Schlüsselbund zur Prüfung zugreift, "Have I Been Pwned" bietet jedoch Schnittstellen zu seinen Informationen über Datendiebstähle an. Gut möglich also, dass Apple mit seiner Funktion hier andockt.

Zusätzlich zu den Sicherheitsverbesserungen beim iCloud-Schlüsselbund hatt Apple im Vorfeld der WWDC bereits ein Open Source Projekt für eine einheitliche Basis von Passwortmanager-Apps ins Leben gerufen. Darüber hinaus wird es dank der Web Authentication API künftig auch eine Unterstützung für die Anmeldung via Face ID und Touch ID auf entsprechend angepassten Webseiten geben.