iCloud-Hack: Apple patcht „Find My iPhone“-Lücke

Gestern wurde Code für einen Brute-Force-Angriff auf das Apple-Cloud-System bei GitHub publiziert. Seither sind hunderte Privatfotos auch unbekleideter Stars auf 4chan veröffentlicht worden. Ein Zusammenhang gilt als wahrscheinlich, ist aber nicht bestätigt.

Apple hat eine Schwachstelle im Clouddienst Find My iPhone („Mein iPhone suchen„) behoben, mit der Fremde auf persönliche Fotos von iCloud-Nutzern zugreifen konnten. Das meldet The Next Web. Zuvor war es aber Angreifern gelungen, in mehr als 100 Konten von Stars einzubrechen und unter anderem Nacktfotos der Schauspielerinnen Michelle Keegan (Coronation Street), Jennifer Lawrence (Hunger Games), Kirsten Dunst (Spider Man) und der Sängerin Ariana Grande zu entwenden sowie auf 4chan zu veröffentlichen.

Apple

Einen Tag zuvor war Proof-of-Concept-Code für einen Brute-Force-Angriff auf die Apple-ID bei GitHub eingestellt worden. Ein Zusammenhang ist zwar noch unbestätigt, aber wahrscheinlich. Angreifer benötigten lediglich den Usernamen des Kontos, der typischerweise aus der E-Mail-Adresse besteht.

Nach Apples Maßnahmen funktioniert der Angriffscode nicht mehr. Falls sich der Zusammenhang bestätigt, könnte der Ruf des Unternehmens – kurz vor der Vorstellung des iPhone 6 – beträchtlichen Schaden nehmen. Hacker dürften auf diese Weise auch Zugang zu anderen in iCloud gespeicherten Daten gehabt haben, von E-Mails bis zu Adressbucheinträgen und Terminen. Die Ausmaße sind noch nicht absehbar.

Schon im Mai hatten vor allem australische Nutzer in Apples Support-Foren von einem Angriff auf ihre iPhones, iPads und Macs berichtet, bei dem die Geräte gesperrt werden. Die unbekannten Hacker drohen damit, alle gespeicherten Daten zu löschen, sollten ihre Opfer nicht ein Lösegeld von 100 Dollar bezahlen.

Wahrscheinlich haben die Hacker Zugriff auf die Apple-ID-Anmeldedaten der betroffenen Nutzer erlangt. Damit konnten sie über den „Find My iPhone“-Service in Apples iCloud eine Passwortabfrage auf den Geräten einrichten und deren Besitzer somit aussperren. Dadurch waren diese nicht mehr in der Lage, auf ihr Gerät zugreifen oder es zurückzusetzen.

Im Jahr 2012 waren schon einmal die Schauspielerinnen Christina Aguilera und Scarlett Johansson Opfer eines iPhone-Hacks geworden. Der später als Hollywood-Hacker bezeichnete und auch verurteilte Christopher Chaney veröffentlichte in der Folge Nacktaufnahmen, die sie von sich selbst gemacht hatten.

Chaney hatte sich in der Mehrzahl der Fälle über die Funktion „Passwort vergessen“ Zugriff zu Mailkonten verschafft, indem er Sicherheitsabfragen mit öffentlich verfügbaren Informationen beantwortete. Nach eigener Aussage kam er so an tausende Mails der Prominenten, darunter auch Vertragsentwürfe.

Weitere Artikel zum Thema:

[mit Material von Adrian Kingsley-Hughes, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Kamera, Secure-IT, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu iCloud-Hack: Apple patcht „Find My iPhone“-Lücke

Kommentar hinzufügen
  • Am 1. September 2014 um 17:43 von Oha

    Wenn tatsächlich der Ablauf so wie beschrieben war, d.h. ‚vergessen‘ unendlich viele Versuche zu verhindern, dann ist das ein grober Fehler. Peinlich, peinlich.

    • Am 1. September 2014 um 22:37 von Judas Ischias

      Da wurde doch vor ein paar Wochen über Samsung so hergezogen, weil bei denen auch praktisch unendliche Versuche möglich waren.
      Aber Apple wurde in den Himmel gelobt, weil die sooo sicher sind. ;)

  • Am 1. September 2014 um 21:11 von C

    1. Die Selfie-User sind selbst Schuld
    2. Stärkere Passworte nutzen
    3. Cloud-Synchronisierung ausschalten bzw. nicht nutzen
    4. Nicht auf Apples „angebliche Sicherheit“ vertrauen
    5. Nicht auf vom Hersteller vor-eingestellte Funktionen vertrauen

    Es zeigt sich einmal mehr:
    a) der User steht in der primären Verantwortung für sein Gerät
    b) Apples Security ist auch nicht das, was das Marketing oder
    der Glaube von den Apfel-Fans meint

    In der heutigen Zeit ist zunächst ein mal nichts sicher.

    • Am 2. September 2014 um 8:21 von Hi, hi...

      …erstaunlicherweise stimme ich mal (fast) komplett mit Deiner Meinung überein. Wenn Du jetzt noch „Apple“ (auch, wenn es in dem Beitrag um die iCloud geht) durch z. B. „Hersteller/Anbieter“ ersetzt hättest, wäre Dein Kommentar 100% richtig, neutral und konstruktiv.

  • Am 2. September 2014 um 7:21 von Marco

    …wehe das wäre MS passiert. Da wäre das Geschrei jetzt 10 mal so groß.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *