Feature „Find my iPhone“-Sicherheitslücke: Apple wusste fast sechs Monate lang Bescheid

[Martin Wendel]

Anfang September veröffentlichten Hacker zahlreiche Nacktbilder aus den privaten iCloud-Konten von Schauspielerinnen und Sängerinnen. Schnell wurde eine mögliche Schwachstelle gefunden: Aufgrund eines Fehlers in „Find my iPhone“ war es möglich, Passwörter über Brute-Force-Attacken zu knacken. Apple selbst gab jedoch an, dass keine derartige Sicherheitslücke für die Entwendung der Promi-Bilder verantwortlich war. Von The Daily Dot veröffentlichte Screenshots zeigen nun, dass Apple bereits seit März über die Sicherheitslücke in „Find my iPhone“ Bescheid wusste. Aktiv geworden ist das Unternehmen jedoch erst fast sechs Monate später, kurz nach der Veröffentlichung der Nacktbilder.[prbreak][/prbreak]

​

Fast sechs Monate lang war Apple eine Sicherheitslücke in „Find my iPhone“ bekannt, mit der Passwörter geknackt werden konnten.

Keine Sicherheitsvorkehrung für Brute-Fore-Attacken

Entwickler und Sicherheitsforscher Ibrahim Balic hat Apple Ende März zuerst per Bug-Report und anschließend auch direkt per E-Mail über die Schwachstelle in „Find my iPhone“ informiert. Balic, der Apple bereits im letzten Jahr über eine schwerwiegende Sicherheitslücke im Entwickler-Portal hinwies, erklärte, dass es ihm möglich sei, aufgrund eines Fehlers iCloud-Passwörter über eine Brute-Force-Attacke zu knacken. Er habe bei einem Konto bereits mehr als 20.000 mögliche Kombinationen ausprobiert, ohne dass der betreffende Account – wie es normalerweise üblich wäre – aus Sicherheitsgründen gesperrt wurde.

Sicherheitslücke erst im September geschlossen

Wie die Screenshots zeigen, bedankt sich Apple bei Balic zwar für die Informationen, weiter unternommen wurde jedoch offenbar nichts. Im Mai erhielt Balic eine weitere E-Mail von Apple. Dort heißt es, dass es eine außergewöhnlich lange Zeit dauern würde, so ein Konto zu knacken. Apple erkundigt sich bei Balic weiter, ob er eine schnellere Methode kenne, um in einen Account einzudringen. „Ich denke, dass das Problem nicht komplett gelöst wurde“, so Balic gegenüber The Daily Dot. „Sie haben mich immer wieder gefragt, ihnen mehr zu zeigen.“ Erst Anfang September, kurz nach der Veröffentlichung der Nacktbilder aus iCloud-Accounts, wurde die Schwachstelle dann behoben.

Apple weist die Schuld von sich

In einer Stellungnahme im September wies Apple jedoch jegliche Schuld von sich. „Keiner der Fälle, die wir untersucht haben, ist durch irgendeine Lücke in irgendeinem System von Apple einschließlich iCloud oder „Find my iPhone“ entstanden“, so das Unternehmen in einer Pressemitteilung. Stattdessen habe es sich um sehr gezielte Attacken auf Benutzernamen, Passwörter und Sicherheitsfragen Prominenter gehandelt. Trotzdem kündigte Apple verschiedene Verbesserungen an der Sicherheit von iCloud, vor allem in der Verbindung mit der Zwei-Faktor-Authentifizierung, an, die teilweise bereits umgesetzt wurden.

Keine Stellungnahme

Balic scheint den Aussagen von Apple jedoch nicht zu vertrauen. „Wenn Apple die Sicherheitslücke ernster genommen hätte, wäre es vielleicht nie zu den Problemen gekommen“, so Balic im Gespräch mit The Daily Dot. Die Webseite hat bei Apple mehrmals um eine Stellungnahme gebeten, bisher jedoch keine Antwort erhalten.

Nachlese:
Hacker stehlen zahlreiche Nacktfotos von Stars – angeblich über iCloud
Nacktfotos: Hacker verwendeten offenbar keine iCloud-Sicherheitslücke
Nach Nacktbilder-Skandal: Tim Cook kündigt neue Sicherheitsfunktionen an
Zwei-Faktor-Authentifizierung: Apple verbessert iCloud-Sicherheit

Via The Daily Dot

 

[ando-x88]

Traurig. Da bekommt man schon einen kostenlosen Tipp von einem Entwickler und dann unternimmt man nichts.

 

[iDesign]

Ich darf an dieser Stelle auf die gestrige Diskussion im Bezug auf iOS 8.0.1 verweisen. Viele Nutzer lobten die schnelle Reaktion von Apple. Ich bin gespannt, wie man diese Meldung schönreden möchte.

Ich finde das einen geradezu mittelschweren Skandal, der auch meine baldige Kaufentscheidung eines MacBook Pro Retina und eines iPhone 6 negativ beeinflussen wird. Denn scheinbar setzt Apple mittlerweile andere Prioritäten, als die Zufriedenheit (und Sicherheit) ihrer Kunden.

 

[soramac]

Sein wir doch mal ehrlich, es ist in Deutschland auch nicht anders. Es muss erstmal was passieren, bevor gehandelt wird. Wie viele Schüler wurden beim überqueren der Strasse vom Auto überfahren? Wo man schon deutlich der Gemeinde gesagt hat, hier sollte eine Ampel gebaut worden. Ne... muss erstmal was passieren, selbe hier in Amerika, Radfahrer zur Schule wird beim überqueren der Strasse tot erwischt. Nach paar Wochen stand da eine Ampel.

Ich mein, seht es nicht falsch, aber irgendwie ist der Mensch leider so, er kriegt erzaehlt und gezeigt, aber sobald noch nichts ernsthaftes passiert ist, wird auch nicht gehandelt.

 

[ChavezDing]

20.000 Kombinationen und der Account läuft weiter als wär nix gewesen.

Es ist prinzipiell schon leicht unfähig, so eine offensichtliche Lücke nicht selbst zu finden, aber nach einem kostenlosen Hinweis einfach so weitermachen wie bisher...TOP!

Da müssen und werden sicherlich Köpfe rollen.

 

[wolfal]

wenn apple nicht bald die kurve bekommt werden sie auf kurz oder lang untergehen
so wie es schon vielen passiert ist

 

[soramac]

wenn apple nicht bald die kurve bekommt werden sie auf kurz oder lang untergehen
so wie es schon vielen passiert ist

Ist klar, mein Bruder hat vor 2 Wochen ein Schreiben gekriegt von BMW das von 2000 bis 2006 alle 3er BMW zurueck holen muss wegen den Airbags im Lenkgrad. Ich mein... das Ihr den Ihr Brot und Butter Auto .. heisst das jetzt, dass BMW unter geht? Fertig? Kannste vergessen die Marke?

Immer dieses.. Oh Gott, ist das das Ende? War's das?

 

[echo.park]

Da müssen und werden sicherlich Köpfe rollen.

Daran glaube ich mittlerweile gar nicht mehr. Ist ja nicht das erste Mal, dass so etwas passiert. Eigentlich sollten da schon so viele Köpfe gerollt sein, dass mittlerweile keine mehr übrig sind. Aber die hauen immer wieder so ein Ding raus.

Bis die 2FA nach Deutschland kam, verging glaube ich ein ganzes Jahr seit US-Start. Bis nun auch iCloud dadurch korrekt abgesichert wurde, waren es wieder 6-9 Monate (grob geschätzt).

Dann lese ich immer wieder, dass Gatekeeper bzw. XProtect deutlich schneller aktualisiert werden müssten um die neueste Malware zu erkennen, Sicherheitsforscher senden Apple fleißig Samples und es tut sich nix.

Alles in allem habe ich das Gefühl, dass die Sicherheit der eigenen Systeme und die der Kunden bei Apple ganz hinten anstehen, erst durch einen solchen PR-Super-Gau wie diese Promi-Nackbilder wird dort überhaupt jemand tätig.

Auf dem Bild in meinem Kopf sitzt die Sicherheitsabteilung von Apple, wenn man das so nennen will, in einem heruntergekommen Container am anderen Ende des Apple-Campus in Cupertino, weit weg vom Tagesgeschäft, sich selbst überlassen, zwischen wucherndem Unkraut und Gestrüpp, wo nichtmal der Gärtner vorbeikommt.

 

[hillepille]

Ist zwar etwas offtopic, aber... es gibt eine neue Sicherheitslücke in der Bash "Bash Bug Shellshock", die einem Angreifer weitgehende Rechte einräumt.

u.a.
http://stadt-bremerhaven.de/linux-bash-bug-shellshock/

http://apple.stackexchange.com/ques...it-cve-2014-6271-and-cve-2014-7/146851#146851

Auch die Mac OSX 10.9 Bash ist angreifbar, für Linux gibt es schon Patches, auf den Apple-Sicherheitseiten taucht die CVE (Common Vulnerabilities and Exposures) noch nicht mal auf.

 

[MacApple]

Daran glaube ich mittlerweile gar nicht mehr. Ist ja nicht das erste Mal, dass so etwas passiert. Eigentlich sollten da schon so viele Köpfe gerollt sein, dass mittlerweile keine mehr übrig sind.

Welcher Kopf soll da auch rollen? Offensichtlich gibt es ja niemanden, der sich ernsthaft um das Thema Sicherheit kümmert.

 

[HeinerM]

So langsam wird mir die Sache unheimlich.

 

[Balkenende]

Ich darf an dieser Stelle auf die gestrige Diskussion im Bezug auf iOS 8.0.1 verweisen. Viele Nutzer lobten die schnelle Reaktion von Apple. Ich bin gespannt, wie man diese Meldung schönreden möchte.

Ich finde das einen geradezu mittelschweren Skandal, der auch meine baldige Kaufentscheidung eines MacBook Pro Retina und eines iPhone 6 negativ beeinflussen wird. Denn scheinbar setzt Apple mittlerweile andere Prioritäten, als die Zufriedenheit (und Sicherheit) ihrer Kunden.

Tja. Ich kann Dir mit fast allem zustimmen.

Aber ich hege Zweifel, dass andere Softwareschmieden da immer besser respektive schneller reagieren.

Das mildert es nicht ab.

Aber eine doch realistische Sichtweise der Dinge dürfte sein, dass es zuerst einmal uns Geldverdienen geht - überall. Und Baustellen dieser Art werden gerne mal zurückgestellt.

 

[Guy.brush]

Im Schönreden bin ich Spezialist:

Klar ist das eine gravierende Sicherheitslücke, und mich wundert wirklich, dass nichts passiert ist, nachdem sie extra darauf hingewiesen wurden. Das ist der eigentliche Skandal.

Aber jetzt mal im Ernst: Ich wechsel doch nicht wegen so einer "Lappalie" zu Windows und erschwere mir meine alltägliche Arbeit oder auch den privaten Workflow mit einem Systemwechsel, der mir meinen Workflow total versaut und die Produktivität wahrscheinlich um 50% verringert. Solche Lücken tauchen bei Windows auch regelmäßig (und wahrscheinlich noch häufiger) auf, das ist es doch wirklich nicht wert... Selbst ein Wechsel zu Linux kommt für mich bis zum jetzigen Zeitpunkt eigentlich nicht in Frage, da müsste schon viel passieren, das bei anderen System nicht auch genau so passiert...

Was ich nicht verstehe, ist, warum er es überhaupt 20.000 mal versucht hat.
Meiner Ansicht nach hätte er das auch nach 100 oder 1000 Versuchen schon Apple melden können (vielleicht hat er das ja auch).

Nach meiner Rechnung (Verbesserungen willkommen, Mathe ist schon etwas her), hätte er per Brute-Force bis zu 722204136308736 Möglichkeiten gebraucht, und diese Zahl lässt die 20.000 Versuche ziemlich alt aussehen und ich bin mir auch sicher, dass das damit aufgefallen wäre.

(gerechnet mit 10 Sonderzeichen, Groß/KLeinschreibung, Ziffern und einem 8-stelligen Passwort)

BTW: wie oft kann ich hier bei AT mein Passwort falsch eingeben, ohne dass der Account gesperrt wird?

 

[dr-eisbach]

Es ist einfach nur traurig

Viele Grüsse

Mark

 

[Tofffl]

Ist klar, mein Bruder hat vor 2 Wochen ein Schreiben gekriegt von BMW das von 2000 bis 2006 alle 3er BMW zurueck holen muss wegen den Airbags im Lenkgrad. Ich mein... das Ihr den Ihr Brot und Butter Auto .. heisst das jetzt, dass BMW unter geht? Fertig? Kannste vergessen die Marke?

Immer dieses.. Oh Gott, ist das das Ende? War's das?

Nur dass BMW nicht erst darauf wartet, das zig Menschen aufgrund dieses Fehlers beim Airbag (den sie seit Monaten kannten) zu Schaden kommen... Kleiner, aber feiner Unterschied.

 

[Mitglied 87291]

@Guy.brush
erzähl das mal den 101 Prominenten deren Nacktbilder gerade in Umlauf sind. Die sind bestimmt total happy das es 722204136308736 Möglichkeiten gebraucht hat um Ihr Passwort zu knacken.

Ungeachtet der Anzahl an Möglichkeiten ist es schon eine Frechheit das eine bekannte Sicherheitslücke 6 Monate nach Kenntnis nicht geschlossen ist. Noch bitterer wenn dann so etwas wie eben dieser Nacktfoto Skandal passiert. Hoffentlich machen Lawrence & Co.'s Anwälte jetzt mal ein bisschen Druck, das kann man ja shcon fast als Fahrlässig bezeichnen.

 

[SeptimusFlyte]

Ich darf an dieser Stelle auf die gestrige Diskussion im Bezug auf iOS 8.0.1 verweisen. Viele Nutzer lobten die schnelle Reaktion von Apple. Ich bin gespannt, wie man diese Meldung schönreden möchte.

Ich finde das einen geradezu mittelschweren Skandal, der auch meine baldige Kaufentscheidung eines MacBook Pro Retina und eines iPhone 6 negativ beeinflussen wird. Denn scheinbar setzt Apple mittlerweile andere Prioritäten, als die Zufriedenheit (und Sicherheit) ihrer Kunden.

Ganz einfach, man wird Apple jetzt hoch anrechnen, das sie überhaupt reagiert haben.

 

[Daniel81]

Ich finde das auch eine Frechheit.
Sicherheitslücken gibt es und kommen immer wieder vor, keine Frage, aber wenn man schon darauf hingewiesen wird nichts zu unternehmen finde ich unglaublich.
Abgesehen davon, dass Apple selbst hätte auf die Idee kommen können, dass man nicht unendlich viele Fehlversuche haben darf.

Ich als Normalsterblicher verstehe dieses Verhalten seitens Apple auch gar nicht.
Ich meine, Apple hortet Abermilliarden Dollar und hat eine extrem hohe Verantwortung was die Daten der Nutzer angeht und darüber hinaus ja auch eine Reputation zu verlieren, da würde ich doch die besten Hacker, Cracker und Programmierer der Welt engagieren die den ganzen Tag nichts anderes machen sollen, als das System auf Schwachstellen zu untersuchen, die dann schnellstmöglich gestopft werden.
Ich meine, am Geld kann es doch noch liegen.
Dann wird halt mal eine Milliarde weniger an Dividende ausgeschüttet, oder auch nicht. Merkt Apple auf dem Konto doch eh nicht.

Ich würde als Apple, auch viel mehr mit der Hacker-Community zusammenarbeiten.
Eine ernstzunehmende Delegation zur Black Hat Konferenz entsenden und und und...

Aber irgendwie habe ich das Gefühl, dass das Apple alles völlig egal ist, und das enttäuscht mich extrem.

 

[Bio Exorzist]

Das korrekte Reagieren von gemeldeten Sicherheitslücken muss Apple aber noch mal üben^^ Ist ja nicht das erste mal, das bereits gemeldete Sicherheitslücken monatelang nicht gefixt werden, bis dann wirklich mal was passiert... Zwar sind sie dann meist fix, aber es muss ja nicht immer erst soweit kommen...

Zudem sollten sie ein Reward-Programm, ähnlich wie es Google macht starten. In dem sie gemeldete Fehler je nach schwere belohnen! Damit hätte nämlich so manche Negativ-Presse im Vornherein vermieden werden können!

 

[rf17]

"Vertrauensbildende Maßnahme" um der Konkordanz zu mehr Umsatz zu verhelfen.