Categories: Cloud

Apple schließt Sicherheitslücke in iCloud

Apple hat eine Schwachstelle im Authentifizierungsprozess von iCloud behoben. Das geht aus der Beschreibung eines kurz vor dem Wochenende veröffentlichten Brute-Force-Tools hervor. Mit iDict war es möglich, das Passwort eines beliebigen Apple-Kontos zu hacken. Hierfür musst man lediglich den Kontonamen in die Eingabemaske des Programms eingeben. Offenbar umging das Tool Apples Schutzmechnismus, wonach die mehrfache Eingabe eines ungültigen Kennworts zur Sperrung des Kontos führt. Selbst eine aktivierte Zwei-Faktor-Authentifizierung hebelte iDict aus.

Welche Fehler das Programm genau ausgenutzt hat, ist nicht bekannt. Der Entwickler mit dem Handle „pr0x13“ machte darüber keine Angabe. Nach eigenem Bekunden hat er Apple über die Schwachstelle informiert.

Durch die Veröffentlichung von Nacktfotos im Herbst 2014 geriet iCloud schon einmal in die Schlagzeilen. Seinerzeit hatten sich Hacker mithilfe des Crackertools iBrute Zugangsdaten von iCloud-Konten verschafft. Mit dem für forensische Zwecke gedachten Programm EPPB konnten sie mit dem Konto verbundene Daten herunterladen.

In der Folge hat Apple die Sicherheit für den Zugriff auf iCloud-Daten schrittweise erhöht. Zunächst aktivierte es die Zwei-Faktor-Authentifizierung und verschärfte diese Schutzmaßnahme wenig später, indem für Dritthersteller-Programme wie Thunderbird die Eingabe eines anwendungsspezifischen Passworts gefordert wurde. Dadurch wird sichergestellt, dass das primäre Apple-ID-Passwort nicht von Drittanbieter-Programmen erfasst und gespeichert wird.

Die Zwei-Faktor-Authentifizierung ist standardmäßig allerdings nicht aktiv. Um sie nutzen zu können, müssen Apple-Anwender unter Meine Apple-ID den Dienst, der im Apple-Jargon “zweistufige Bestätigung” genannt wird, einschalten. Außerdem benötigt Apple für die Aktivierung des Dienstes volle drei Tage. Mit “Sicherheitsgründen” erklärt der Apple-Support diese Wartezeit in seiner Bestätigungs-Mail, die er wiederum “zur Sicherheit an alle in Ihrem Account hinterlegten E-Mail-Adressen” sendet.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Mit dem kurz vor dem Wochenende veröffentlichten Tool iDict konnte das Passwort eines beliebigen Apple-Kontos geknackt werden (Screenshot: ZDNet.de).

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.