iCloud-Sicherheitslücke gibt Passwörter von iPhones und Macs preis

Der Fehler hebelt die Ende-zu-Ende-Verschlüsselung aus. Ein Forscher registriert ein eigenes Gerät als vertrauenswürdig und ruft alle Inhalte des digitalen Schlüsselbunds eines Dritten ab. Apple verteilt bereits seit März Patches für iOS und macOS.

Der Sicherheitsforscher Alex Radocea, Gründer von Longterm Security, hat Details zu einer Sicherheitslücke in Apples iCloud Keychain öffentlich gemacht. Die Schwachstelle, die iOS und macOS betrifft, erlaubt es einem Angreifer, alle Passwörter des digitalen Schlüsselbunds zu stehlen. Allerdings wurde die Anfälligkeit bereits im März mit iOS 10.3 sowie macOS Sierra 10.12.4 beseitigt.

iCloud (Bild: Apple)Der Fehler tritt bei der Synchronisierung vertraulicher Daten wie Passwörter oder Kreditkartendetails über mehrere Apple-Geräte hinweg auf. „Der Bug, den wir gefunden haben, ist genau die Art von Bug, die Strafverfolger oder Geheimdienste in einem Ende-zu-Ende verschlüsselten System suchen würden“, sagte Radocea im Gespräch mit ZDNet USA. Er erlaube es, die Ende-zu-Ende-Verschlüsselung zu umgehen.

Ihm zufolge nutzt Apple eine speziell angepasste Version den Open-Source-Verschlüsselungsprotokolls Off-the-Record, das auch von Messaging-Apps verwendet wird. Durch die Überprüfung von Schlüsseln stellt das Protokoll sicher, dass die richtigen Geräte miteinander kommunizieren. Ein Fehler führt jedoch dazu, dass ein Angreifer einen Schlüssel aushandeln kann, ohne dass dieser überprüft wird.

Für seinen Angriff lud Radocea ein TLS-Zertifikat auf ein Testgerät. Das erlaubte es ihm, einen Man-in-the-Middle-Angriff auszuführen und den Datenverkehr zu überwachen. Anschließend fing er Off-the-Records-Pakete ab und modifizierte sie, um absichtlich eine falsche Signatur zu erzeugen. „Wir wussten, welche Bits wir für eine ungültige Signatur verändern mussten, während sie trotzdem akzeptiert wurde“, ergänzte der Forscher. „Wir waren in der Lage, eine falsche Signatur zu schicken und das Paket zum Aushandeln des Schlüssels so zu verändern, dass sie trotzdem akzeptiert wurde.“

Das wiederum erlaubte es ihm, sein Testgerät als vertrauenswürdiges Gerät mit iCloud Keychain zu verbinden. „Wir konnten alle Daten in Keychain im Klartext sehen“, so der Forscher weiter.

Radocea räumte aber auch ein, dass es nicht möglich sei, den Schlüsselbund beliebiger iCloud-Konten zu plündern. Voraussetzung für seinen Angriff sei ein Zugang zum iCloud-Konto des Opfers. „Die Kommunikation zwischen Geräten und Apple war stets sicher. Der Verschlüsselungsfehler hätte es einem Apple-Mitarbeiter mit bösen Absichten oder auch einem Ermittler mit Durchsuchungsbeschluss erlaubt, auf alle Keychain-Daten zuzugreifen.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Authentifizierung, Security, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu iCloud-Sicherheitslücke gibt Passwörter von iPhones und Macs preis

Kommentar hinzufügen
  • Am 25. Juli 2017 um 21:42 von K

    Wieder Expertentreffen hier? Faszinierend.

    • Am 26. Juli 2017 um 0:11 von Antiappler

      Kann das sein, dass Dir 4 Buchstaben „verloren“ gegangen sind? ;-)

  • Am 25. Juli 2017 um 8:53 von HerrP

    Das kann alles gar nicht sein, weil Apple die sicherste Plattform aller Zeiten ist und Blabla und blubblub

  • Am 24. Juli 2017 um 11:47 von Antiappler

    Wer weiß denn, ob dieser „Bug“ nicht in Wirklichkeit bewusst eingebaut war, damit Dienste wie FBI, NSA, Homeland Security… Zugriff auf die Geräte bekommen und jetzt durch Zufall entdeckt wurde?
    Und dass man als Ermittler einer der Geheimdienste einen Durchsuchungsbeschluss braucht, ist doch auch nicht immer erforderlich. ;-)))

    • Am 24. Juli 2017 um 13:37 von Gepard

      Oder anders spekuliert: FBI/NS/HS publizieren vertrauenswürdig aber hochkomplexe Open Source, die jeder nutzen möchte und schon sind alle infiltriert. Ein Unternehmen zu zwingen kann zu schnell in die Hose gehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *