Vladimir Katalov, CEO des russischen Sicherheitsanbieters Elcomsoft, hat Apples proprietäre Protokolle für iCloud und Find My iPhone analysiert. Dabei stellte er fest, dass keines durch Apples Zwei-Faktor-Authentifizierung geschützt wird. Als Folge ist es möglich, ohne Wissen eines Nutzers dessen iCloud-Daten herunterzuladen.
Katalov zufolge werden auf iCloud abgelegte Daten zwar verschlüsselt, der Schlüssel werde aber zusammen mit den Daten gespeichert. Zudem sei Apple im Besitz der Schlüssel. Zusätzlich zu diesen Schwachstellen in der Sicherheitskette habe er festgestellt, dass Apple iCloud-Daten auf Servern von Microsoft und Amazon speichere.
Da die Storage-Provider Amazon und Microsoft einen vollständigen Zugriff auf die Daten hätten, könne Apple die Daten auch Strafverfolgungsbehörden zur Verfügung stellen. In einer Stellungnahme zu den PRISM-Enthüllungen hatte der iPhone-Hersteller im Juli versichert, Regierungsbehörden keine Hintertür zu öffnen. „Apple gibt Strafverfolgern keinen Zugang zu seinen Servern.“
Katalov folgert aus seiner Analyse jedoch, dass dies zumindest möglich ist. Lädt ein Nutzer ein iCloud-Backup herunter, erhält er eine E-Mail, die ihn über den Abschluss des Vorgangs informiert. Erfolgt der Download jedoch nicht auf das Gerät des Nutzers, wird auch keine Benachrichtigung verschickt. Ruft also ein Dritter diese Daten ab, geschieht das ohne das Wissen des Nutzers.
Die Apple-Protokolle analysierte Katalov, indem er den HTTP-Datenverkehr von gejailbreakten Geräten abhörte. Die von ihm entdeckten Schwächen in den Protokollen beträfen aber auch Besitzer von nicht entsperrten iPhones und iPads. Durch einfache Abfragen sei es auch möglich, die Authentifizierungs-Tokens für den Zugriff auf ein iCloud-Backup, die Backup-IDs und die Schlüssel zu erhalten. Damit sei es wiederum möglich, die Dateien von Windows Azure oder Amazon AWS herunterzuladen.
Im Gespräch mit ZDNet USA sagte Katalov, bei den von ihm festgestellten Schwächen der Protokolle handele es sich nicht um Anfälligkeiten. Allerdings sei es nicht möglich, die Zwei-Faktor-Authentifizierung auf iCloud und Mein iPhone suchen auszuweiten. Apples Implementierung der Technik sei wahrscheinlich „nur ein nachträglicher Einfall“. Nutzer könnten sich nur schützen, indem sie auf iCloud verzichteten. Er selber nutze iCloud aber weiterhin als Backup-Dienst für seine iOS-Geräte.
[mit Material von Violet Blue, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…