Russicher Sicherheitsforscher knackt Apples iCloud-Protokoll

Vladimir Katalov, CEO des russischen Sicherheitsanbieters Elcomsoft, hat Apples proprietäre Protokolle für iCloud und Find My iPhone analysiert. Dabei stellte er fest, dass keines durch Apples Zwei-Faktor-Authentifizierung geschützt wird. Als Folge ist es möglich, ohne Wissen eines Nutzers dessen iCloud-Daten herunterzuladen.

Seine Erkenntnisse präsentierte Katalov in der vergangenen Woche auf der Konferenz Hack In The Box in Kuala Lumpur, Malaysia. Demnach ist Apple entgegen anderslautenden eigenen Angaben offenbar doch in der Lage, auf Informationen und Daten seiner Nutzer zuzugreifen. Ein Angreifer müsse zwar die Apple-ID und das Passwort eines Opfers kennen, um beispielsweise ein iCloud-Backup durchzuführen – dessen mit dem iCloud-Konto verbundenes iOS-Gerät werde aber nicht benötigt.

Katalov zufolge werden auf iCloud abgelegte Daten zwar verschlüsselt, der Schlüssel werde aber zusammen mit den Daten gespeichert. Zudem sei Apple im Besitz der Schlüssel. Zusätzlich zu diesen Schwachstellen in der Sicherheitskette habe er festgestellt, dass Apple iCloud-Daten auf Servern von Microsoft und Amazon speichere.

Da die Storage-Provider Amazon und Microsoft einen vollständigen Zugriff auf die Daten hätten, könne Apple die Daten auch Strafverfolgungsbehörden zur Verfügung stellen. In einer Stellungnahme zu den PRISM-Enthüllungen hatte der iPhone-Hersteller im Juli versichert, Regierungsbehörden keine Hintertür zu öffnen. „Apple gibt Strafverfolgern keinen Zugang zu seinen Servern.“

Katalov folgert aus seiner Analyse jedoch, dass dies zumindest möglich ist. Lädt ein Nutzer ein iCloud-Backup herunter, erhält er eine E-Mail, die ihn über den Abschluss des Vorgangs informiert. Erfolgt der Download jedoch nicht auf das Gerät des Nutzers, wird auch keine Benachrichtigung verschickt. Ruft also ein Dritter diese Daten ab, geschieht das ohne das Wissen des Nutzers.

Die Apple-Protokolle analysierte Katalov, indem er den HTTP-Datenverkehr von gejailbreakten Geräten abhörte. Die von ihm entdeckten Schwächen in den Protokollen beträfen aber auch Besitzer von nicht entsperrten iPhones und iPads. Durch einfache Abfragen sei es auch möglich, die Authentifizierungs-Tokens für den Zugriff auf ein iCloud-Backup, die Backup-IDs und die Schlüssel zu erhalten. Damit sei es wiederum möglich, die Dateien von Windows Azure oder Amazon AWS herunterzuladen.

Im Gespräch mit ZDNet USA sagte Katalov, bei den von ihm festgestellten Schwächen der Protokolle handele es sich nicht um Anfälligkeiten. Allerdings sei es nicht möglich, die Zwei-Faktor-Authentifizierung auf iCloud und Mein iPhone suchen auszuweiten. Apples Implementierung der Technik sei wahrscheinlich „nur ein nachträglicher Einfall“. Nutzer könnten sich nur schützen, indem sie auf iCloud verzichteten. Er selber nutze iCloud aber weiterhin als Backup-Dienst für seine iOS-Geräte.

[mit Material von Violet Blue, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de