Apple hat eine Schwachstelle im Clouddienst Find My iPhone („Mein iPhone suchen„) behoben, mit der Fremde auf persönliche Fotos von iCloud-Nutzern zugreifen konnten. Das meldet The Next Web. Zuvor war es aber Angreifern gelungen, in mehr als 100 Konten von Stars einzubrechen und unter anderem Nacktfotos der Schauspielerinnen Michelle Keegan (Coronation Street), Jennifer Lawrence (Hunger Games), Kirsten Dunst (Spider Man) und der Sängerin Ariana Grande zu entwenden sowie auf 4chan zu veröffentlichen.
Einen Tag zuvor war Proof-of-Concept-Code für einen Brute-Force-Angriff auf die Apple-ID bei GitHub eingestellt worden. Ein Zusammenhang ist zwar noch unbestätigt, aber wahrscheinlich. Angreifer benötigten lediglich den Usernamen des Kontos, der typischerweise aus der E-Mail-Adresse besteht.
Nach Apples Maßnahmen funktioniert der Angriffscode nicht mehr. Falls sich der Zusammenhang bestätigt, könnte der Ruf des Unternehmens – kurz vor der Vorstellung des iPhone 6 – beträchtlichen Schaden nehmen. Hacker dürften auf diese Weise auch Zugang zu anderen in iCloud gespeicherten Daten gehabt haben, von E-Mails bis zu Adressbucheinträgen und Terminen. Die Ausmaße sind noch nicht absehbar.
Schon im Mai hatten vor allem australische Nutzer in Apples Support-Foren von einem Angriff auf ihre iPhones, iPads und Macs berichtet, bei dem die Geräte gesperrt werden. Die unbekannten Hacker drohen damit, alle gespeicherten Daten zu löschen, sollten ihre Opfer nicht ein Lösegeld von 100 Dollar bezahlen.
Wahrscheinlich haben die Hacker Zugriff auf die Apple-ID-Anmeldedaten der betroffenen Nutzer erlangt. Damit konnten sie über den „Find My iPhone“-Service in Apples iCloud eine Passwortabfrage auf den Geräten einrichten und deren Besitzer somit aussperren. Dadurch waren diese nicht mehr in der Lage, auf ihr Gerät zugreifen oder es zurückzusetzen.
Im Jahr 2012 waren schon einmal die Schauspielerinnen Christina Aguilera und Scarlett Johansson Opfer eines iPhone-Hacks geworden. Der später als Hollywood-Hacker bezeichnete und auch verurteilte Christopher Chaney veröffentlichte in der Folge Nacktaufnahmen, die sie von sich selbst gemacht hatten.
Chaney hatte sich in der Mehrzahl der Fälle über die Funktion „Passwort vergessen“ Zugriff zu Mailkonten verschafft, indem er Sicherheitsabfragen mit öffentlich verfügbaren Informationen beantwortete. Nach eigener Aussage kam er so an tausende Mails der Prominenten, darunter auch Vertragsentwürfe.
[mit Material von Adrian Kingsley-Hughes, ZDNet.com]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.