- Registriert
- 06.04.08
- Beiträge
- 45.137
Anfang September veröffentlichten Hacker zahlreiche Nacktbilder aus den privaten iCloud-Konten von Schauspielerinnen und Sängerinnen. Schnell wurde eine mögliche Schwachstelle gefunden: Aufgrund eines Fehlers in „Find my iPhone“ war es möglich, Passwörter über Brute-Force-Attacken zu knacken. Apple selbst gab jedoch an, dass keine derartige Sicherheitslücke für die Entwendung der Promi-Bilder verantwortlich war. Von The Daily Dot veröffentlichte Screenshots zeigen nun, dass Apple bereits seit März über die Sicherheitslücke in „Find my iPhone“ Bescheid wusste. Aktiv geworden ist das Unternehmen jedoch erst fast sechs Monate später, kurz nach der Veröffentlichung der Nacktbilder.[prbreak][/prbreak]
Fast sechs Monate lang war Apple eine Sicherheitslücke in „Find my iPhone“ bekannt, mit der Passwörter geknackt werden konnten.
Keine Sicherheitsvorkehrung für Brute-Fore-Attacken
Entwickler und Sicherheitsforscher Ibrahim Balic hat Apple Ende März zuerst per Bug-Report und anschließend auch direkt per E-Mail über die Schwachstelle in „Find my iPhone“ informiert. Balic, der Apple bereits im letzten Jahr über eine schwerwiegende Sicherheitslücke im Entwickler-Portal hinwies, erklärte, dass es ihm möglich sei, aufgrund eines Fehlers iCloud-Passwörter über eine Brute-Force-Attacke zu knacken. Er habe bei einem Konto bereits mehr als 20.000 mögliche Kombinationen ausprobiert, ohne dass der betreffende Account – wie es normalerweise üblich wäre – aus Sicherheitsgründen gesperrt wurde.
Sicherheitslücke erst im September geschlossen
Wie die Screenshots zeigen, bedankt sich Apple bei Balic zwar für die Informationen, weiter unternommen wurde jedoch offenbar nichts. Im Mai erhielt Balic eine weitere E-Mail von Apple. Dort heißt es, dass es eine außergewöhnlich lange Zeit dauern würde, so ein Konto zu knacken. Apple erkundigt sich bei Balic weiter, ob er eine schnellere Methode kenne, um in einen Account einzudringen. „Ich denke, dass das Problem nicht komplett gelöst wurde“, so Balic gegenüber The Daily Dot. „Sie haben mich immer wieder gefragt, ihnen mehr zu zeigen.“ Erst Anfang September, kurz nach der Veröffentlichung der Nacktbilder aus iCloud-Accounts, wurde die Schwachstelle dann behoben.
Apple weist die Schuld von sich
In einer Stellungnahme im September wies Apple jedoch jegliche Schuld von sich. „Keiner der Fälle, die wir untersucht haben, ist durch irgendeine Lücke in irgendeinem System von Apple einschließlich iCloud oder „Find my iPhone“ entstanden“, so das Unternehmen in einer Pressemitteilung. Stattdessen habe es sich um sehr gezielte Attacken auf Benutzernamen, Passwörter und Sicherheitsfragen Prominenter gehandelt. Trotzdem kündigte Apple verschiedene Verbesserungen an der Sicherheit von iCloud, vor allem in der Verbindung mit der Zwei-Faktor-Authentifizierung, an, die teilweise bereits umgesetzt wurden.
Keine Stellungnahme
Balic scheint den Aussagen von Apple jedoch nicht zu vertrauen. „Wenn Apple die Sicherheitslücke ernster genommen hätte, wäre es vielleicht nie zu den Problemen gekommen“, so Balic im Gespräch mit The Daily Dot. Die Webseite hat bei Apple mehrmals um eine Stellungnahme gebeten, bisher jedoch keine Antwort erhalten.
Nachlese:
Hacker stehlen zahlreiche Nacktfotos von Stars – angeblich über iCloud
Nacktfotos: Hacker verwendeten offenbar keine iCloud-Sicherheitslücke
Nach Nacktbilder-Skandal: Tim Cook kündigt neue Sicherheitsfunktionen an
Zwei-Faktor-Authentifizierung: Apple verbessert iCloud-Sicherheit
Via The Daily Dot
Keine Sicherheitsvorkehrung für Brute-Fore-Attacken
Entwickler und Sicherheitsforscher Ibrahim Balic hat Apple Ende März zuerst per Bug-Report und anschließend auch direkt per E-Mail über die Schwachstelle in „Find my iPhone“ informiert. Balic, der Apple bereits im letzten Jahr über eine schwerwiegende Sicherheitslücke im Entwickler-Portal hinwies, erklärte, dass es ihm möglich sei, aufgrund eines Fehlers iCloud-Passwörter über eine Brute-Force-Attacke zu knacken. Er habe bei einem Konto bereits mehr als 20.000 mögliche Kombinationen ausprobiert, ohne dass der betreffende Account – wie es normalerweise üblich wäre – aus Sicherheitsgründen gesperrt wurde.
Sicherheitslücke erst im September geschlossen
Wie die Screenshots zeigen, bedankt sich Apple bei Balic zwar für die Informationen, weiter unternommen wurde jedoch offenbar nichts. Im Mai erhielt Balic eine weitere E-Mail von Apple. Dort heißt es, dass es eine außergewöhnlich lange Zeit dauern würde, so ein Konto zu knacken. Apple erkundigt sich bei Balic weiter, ob er eine schnellere Methode kenne, um in einen Account einzudringen. „Ich denke, dass das Problem nicht komplett gelöst wurde“, so Balic gegenüber The Daily Dot. „Sie haben mich immer wieder gefragt, ihnen mehr zu zeigen.“ Erst Anfang September, kurz nach der Veröffentlichung der Nacktbilder aus iCloud-Accounts, wurde die Schwachstelle dann behoben.
Apple weist die Schuld von sich
In einer Stellungnahme im September wies Apple jedoch jegliche Schuld von sich. „Keiner der Fälle, die wir untersucht haben, ist durch irgendeine Lücke in irgendeinem System von Apple einschließlich iCloud oder „Find my iPhone“ entstanden“, so das Unternehmen in einer Pressemitteilung. Stattdessen habe es sich um sehr gezielte Attacken auf Benutzernamen, Passwörter und Sicherheitsfragen Prominenter gehandelt. Trotzdem kündigte Apple verschiedene Verbesserungen an der Sicherheit von iCloud, vor allem in der Verbindung mit der Zwei-Faktor-Authentifizierung, an, die teilweise bereits umgesetzt wurden.
Keine Stellungnahme
Balic scheint den Aussagen von Apple jedoch nicht zu vertrauen. „Wenn Apple die Sicherheitslücke ernster genommen hätte, wäre es vielleicht nie zu den Problemen gekommen“, so Balic im Gespräch mit The Daily Dot. Die Webseite hat bei Apple mehrmals um eine Stellungnahme gebeten, bisher jedoch keine Antwort erhalten.
Nachlese:
Hacker stehlen zahlreiche Nacktfotos von Stars – angeblich über iCloud
Nacktfotos: Hacker verwendeten offenbar keine iCloud-Sicherheitslücke
Nach Nacktbilder-Skandal: Tim Cook kündigt neue Sicherheitsfunktionen an
Zwei-Faktor-Authentifizierung: Apple verbessert iCloud-Sicherheit
Via The Daily Dot
