Feature Nacktfotos: Apple untersucht angeblichen iCloud-Hack

[Martin Wendel]

Am Wochenende wurden von einem Hacker zahlreiche intime Fotos von Hollywood-Stars ins Netz gestellt. Angeblich soll der Angreifer über eine Schwachstelle in iCloud Zugang zu den Bildern erhalten haben, eindeutige Belege gibt es dafür derzeit aber keine. Apple hat nun trotzdem gegenüber Re/code bestätigt, dass man der Sache nachgehe und sie aktiv untersuche.[prbreak][/prbreak]

„Wir nehmen die Privatsphäre unserer Nutzer ernst und untersuchen diesen Bericht aktiv“, so Apple-Sprecherin Natalie Kerris auf Anfrage von Re/code. Zuletzt stand die Vermutung im Raum, dass die Passwörter der betroffenen iCloud-Konten über eine Brute-Force-Attacke geknackt wurden. Normalerweise verhindert man ein solches Passwörter-Raten indem ein Konto nach mehreren erfolglosen Versuchen gesperrt wird. Bei „Find my iPhone“ scheint ein solcher Schutz bis gestern jedoch gefehlt zu haben. Apple hat die Sicherheitslücke mittlerweile angeblich geschlossen.

Sollten die Daten tatsächlich über das iCloud-Konto entwendet worden sein, hätte der Datendiebstahl vermutlich durch die Nutzung der Zwei-Faktor-Authentifizierung verhindert werden können, meinen Sicherheitsexperten. Zur Anmeldung eines iCloud-Kontos auf einem neuen Gerät wäre dann ein zusätzlicher Code notwendig, der etwa an das iPhone gesendet wird.

​

Bild von Dev.Arka (flickr), bestimmte Rechte vorbehalten
Via Re/code

 

[padrak]

Das will ich auch mal hoffen, dass sie das machen.

Hoffentlich wird das Ergebnis auch transparent ausfallen.

 

[Feuilleton]

Laut ZDNet konnten die Angreifer die Daten abgreifen, weil über die Funktion "Find my iPhone" – als einzige der iCloud-Funktionen – Brute-Force-Angriffe (zigfache Passworteingaben, bis das richtige gefunden ist) möglich waren. Dazu wurde die Software iBrute verwendet; Apple soll die Sicherheitslücke aber bereits geschlossen haben, zumindest ist wohl der Zugriff mit iBrute nicht mehr möglich.

ZDNet: Apple untersucht iCloud-Schwachstelle

 

[Martin Wendel]

Danke, steht auch im Artikel.
Aber fix ist es meines Wissens nach nicht, dass die Schwachstelle dafür verantwortlich ist.

 

[Feuilleton]

Ach verdammt, überlesen…

 

[Tuer]

Darf man da nun skeptisch sein, wenn wir kommende Woche eingeladen werden, alle Fotos, Dokumente und Backups bei Apple zu speichern?
Mal abgesehen von den ganzen Meldungen vorher.

 

[Mitglied 167063]

Eine Woche vor der iPhone 6 Vorstellung ist dies natürlich der GAU!

In den meisten Medien wird nur Apple an den Pranger gestellt. Ob zu Recht oder zu Unrecht, muss nun schnellstens kommuniziert werden. Manche "Kommentare" berichten, dass anhand der Bilddaten ein Großteil von Android-Geräten stammt, auch Dropbox wurde genannt. Stammen die Bilder, eventuell auch nur Teile, also tatsächlich aus den iCloud-Accounts der Prominenten und wie sind diese abhanden gekommen? Durch die „Find my iPhone“-Lücke?

Hier muss Apple schnellstens reagieren, untersuchen und kommunizieren. Selbst wenn herauskommt, dass diese Bilder tatsächlich nicht aus der iCloud stammen, bleibt ein riesiger Imageschaden. Nach dem GoTo-Fiasko nun die nächste „Find my iPhone“-Schwachstelle.

Beängstigend wie groß die kriminelle Energie in unserer Gesellschaft ist.

 

[dandy-power]

Warum Gesellschaft?
Solche Leute werden bezahlt von den Konkurenten. Die werden darauf angesetzt so lange zu suchen um etwas schadhaftes zu finden.
Wichtig ist nur, dass der Imageschaden zustande kommt. Ist heutzutage ja fast in jeder Branche so.
Was meinst du wie viele Bio-Bauern spenden, damit Reporter nachts in Masthaltungsanlagen einbrechen und Bilder knipsen.

 

[iMerkopf]

Was bitte?
Zum Verständnis: Ein Bio-Bauer mit vermutlich unendlichen finanziellen Ressourcen beauftragt Journalisten, in die kleinen, ungesicherten Höfe von Wiesenhof und Co einzubrechen, welche sich - aufgrund viel kleinerer Kriegskasse - kein Bisschen wehren können?
Das ist - Pardon - noch dämlicher als die These, für die dieses "Beispiel" gedacht war.
Denn wenn du das Geld suchen willst (an sich vernünftig), dann beginnt die Suche doch in erster Linie bei denen, die direkt profitieren (die Hacker selbst und die Medien), anstatt bei irgend welchen diffusen Anti-Apple-Verbänden...

 

[Dratatoo]

Naja, wer solche intimen Details "in die Cloud" läd, dem ist eh nicht mehr zu helfen. Hoffentlich sorgt der Vorfall auch dafür, dass Leute bewusster mit Ihren privaten Daten umgehen.

 

[staettler]

Und bessere Passwörter!

 

[echo.park]

Sollten die Daten tatsächlich über das iCloud-Konto entwendet worden sein, hätte der Datendiebstahl vermutlich durch die Nutzung der Zwei-Faktor-Authentifizierung verhindert werden können, meinen Sicherheitsexperten. Zur Anmeldung eines iCloud-Kontos auf einem neuen Gerät wäre dann ein zusätzlicher Code notwendig, der etwa an das iPhone gesendet wird.

Nö.

Ein separater Code wird nur bei einem Einkauf benötigt. Das Einloggen ist kein Problem. Übrigens genauso auch auf icloud.com.

// Edit:
Die Zwei-Faktor-Geschichte schützt den Account vor Übernahme und unberechtigt verursachte Kosten. Die Daten, die der Account enthält, werden (derzeit) nicht geschützt.

 

[Mitglied 167063]

Ständig lese ich in den Kommentaren, dass die Prominenten selbst schuld sind, wenn sie diese Art von Bildern in die iCloud laden. Wir haben hier natürlich nun einen (angeblichen) speziellen Fall eines "Diebstahls" aus der iCloud.

Den Prominenten die mittels eines Apple-Produkts die iCloud benutzen mache ich keinen Vorwurf. Sie verwenden die iCloud, genauso wie ich, in der Hoffnung, dass es Apple schafft diesen Service vor Hackern zu schützen. Das Apple hier eine riesige Sicherheitslücke nicht geschlossen hat ist fahrlässig und wirft die Frage in den Raum, welche Möglichkeiten des unberechtigten Zugriffs es noch gibt. Wir hatten erst vor wenigen Monaten die GoTo-Lücke.

Jetzt reden zwar alle nur über die Nacktbilder irgendwelcher Schauspieler. Aber über die tatsächlichen Konsequenzen die daraus folgen, spricht fast niemand. Wenn man zu Bildern Zugriff hatte, zu was dann noch? Kontakte, Kalender, Nachrichten, Emails, ganze Backups etc.?

Wenn die NSA irgendwo etwas mitliest ist das Geschrei groß, wenn irgendwelche Leute Nacktbilder von Promis besorgt und diese ins Netz stellt, ist das in Ordnung, sind ja selber Schuld und man sucht dann fleißig nach diesen Bildern.

Es stellt sich zunächst die berechtigte Frage woher die Bilder stammen. Wenn welche tatsächlich aus der iCloud gestohlen wurde, muss kommuniziert werden, wie der Zugriff möglich war. Woher hatten die "Hacker" die IDs? Waren die Passwörter zu einfach oder wurde möglicherweise ein anderer Dienst kompromittiert und Email und PW sind identisch mit dem iCloud-Zugangsdaten?

Sollten die Vorwürfe nicht bis nächsten Dienstag ausgeräumt werden können, wird der ganzen Keynote ein fader Beigeschmack anhaften.

 

[Norrington]

// Edit:
Die Zwei-Faktor-Geschichte schützt den Account vor Übernahme und unberechtigt verursachte Kosten. Die Daten, die der Account enthält, werden (derzeit) nicht geschützt.

Ernsthaft? Bei meinem Microsoft-Account schützt das alles. Da muss bei jedem Einloggen der Code eingegeben werden, es sei denn es handelt sich um ein vertrautes Gerät.

 

[Lurgo]

Den Prominenten die mittels eines Apple-Produkts die iCloud benutzen mache ich keinen Vorwurf. Sie verwenden die iCloud, genauso wie ich, in der Hoffnung, dass es Apple schafft diesen Service vor Hackern zu schützen. Das Apple hier eine riesige Sicherheitslücke nicht geschlossen hat ist fahrlässig und wirft die Frage in den Raum, welche Möglichkeiten des unberechtigten Zugriffs es noch gibt. Wir hatten erst vor wenigen Monaten die GoTo-Lücke.

Es ist immer eine Risikoabwägung bzw. ein Tradeoff zwischen Sicherheit und Bequemlichkeit. Der erste Schritt sollte die Erkenntnis und Akzeptanz der Tatsache sein, dass kein Anbieter eine totale Sicherheit der Daten garantieren kann. Man sollte immer Überlegen, welches Kosten/Nutzen Verhältnis für einen Angriff auf die Daten besteht oder andersherum das Verhältnis Aufwand/potentieller Schaden für den Schutz der Daten bewerten.

Und bei "Stars", um die herum eine ganze Industrie floriert, die von Paparazzi gejagt werden und denen die vergangenen "Skandälchen" eine Warnung hätten sein müssen, sieht die Rechnung anders aus als bei Tante Erna. Von daher sind die in meinen Augen tatsächlich selbst schuld, die Naivität ist schon enorm. Einfach sensibelste Daten in ein fremdes Netzwerk hochzuladen, das schon allein wegen seiner Größe ein lohnendes Angriffsziel ist, bleibt nun mal fahrlässig. Evtl. kommen bei den Prominenten zum Personal Asisstant und Personal Trainer in Zukunft halt noch ein Personal IT-Security-Guy hinzu. Ihre Häuser und Grundstücke werden ja auch selbstverständlich mit hohen Zäunen, Alarmanlagen und Wachpersonal geschützt, Tante Ernas Häuschen dagegen eher nicht.

Das ist jetzt natürlich keine Entschuldigung für alle anderen, unbedacht mit den eigenen Daten umzugehen. Und Apple hat in der Tat in der Hinsicht noch Raum nach oben...

 

[Mitglied 167063]

Ich kann dem nur teilweise zustimmen.

Jeder der im Internet einen Dienst in Anspruch nimmt, muss natürlich alles dafür tun, dass seine eigene Sicherheit gewährleistet ist. Ich spreche hier von sicheren Passwörtern, verschiedenen Passwörtern bei unterschiedlichen Diensten und natürlich das diese Passwörter nirgends im Klartext herumliegen (schriftlich oder elektronisch), keine unsicheren Wlan-Netze nutzen, etc.

Auf der anderen Seite haben wir einen Dienstleister, hier Apple mit der iCloud von dem ich erwarte, dass sie alles daran setzen, dass kein Unberechtigter auf meine Daten jeglicher Art Zugriff bekommen kann. Klar sind diese Stars einem besonderen Angriff ausgesetzt, aber auch diese Stars sind Menschen und verdienen Privatsphäre und wenn sie Bilder in die iCloud laden, dann ist das ihre Entscheidung und geht sonst niemand anderen etwas an.

Wenn irgendwelche Zugangsdaten aus Unachtsamkeit an die entsprechenden Personen gingen und sie sich damit Zugriff verschafften, sag ich ganz klar, dass diese Person selbst schuld ist. Sollte aber der Fehler bei Apple liegen, sehe ich das ganze sehr bedenklich. Da fragt man sich dann ernsthaft was das Sicherheitsteam den ganzen lieben langen Tag anstellt.

 

[echo.park]

Ernsthaft? Bei meinem Microsoft-Account schützt das alles. Da muss bei jedem Einloggen der Code eingegeben werden, es sei denn es handelt sich um ein vertrautes Gerät.

Was hat Microsoft mit Apple am Hut? Vergleiche doch nicht Äpfel mit Birnen. Du hättest auch noch Google als Beispiel bringen können, aber Microsoft "passte" dir wohl besser in den Kram.

Ich habe bereits geschrieben, wie Apple die Zwei-Faktor-Verifikation implementiert hat, und wie eben nicht. Dort wird ein anderer Ansatz verfolgt als bei anderen Diensten. Beispielsweise wäre es sehr doof, wenn die iCloud-Backups eines iPhone durch diese Maßnahme "geschützt" wären, wenn dann genau dieses iPhone die Codes empfangen soll, welches man aufgrund eines Problems wiederherstellen möchte und deshalb eben in diesem Moment keine Codes empfangen kann, bis man wieder an das Backup rankommt.

Klingt logisch, gell?

 

[CharlieBrown]

Also im Moment hat man ja den Eindruck, dass die "Schuld" etwa 50:50 verteilt ist:
Apple hat eine Schwachstelle, die einen brute-Force Angriff ermöglicht. Aber die "Kunden" scheinen so schwache Passwörter gewählt zu haben, dass ein solcher Angriff zum Ziel führte.

 

[EddyOS]

War bestimmt ein PR Gag für den neuen Kinofilm "Sextape". Der ist jetzt für alle Apple Hater doppelt so lustig.


Sent from my iPhone using Apfeltalk mobile app

 

[Dareonsky]

Man wie hier fast alle jammern und schimpfen. Man möge zu erst nachdenken bevor der Mund (Finger) anfängt zu arbeiten. Es gibt keine 100% Sicherheit. Bitte aufwachen. Nicht ein Mal beim Online Banking gibt es sie. Es ist nämlich nicht ein Mal möglich alle bekannten Schwachstellen zu schliessen, die Unbekannten oder gar neu Erfundenen gar nicht zu erwähnen. Also schön abkühlen und sich selbst fragen, welche Geheimnisse man in die digitale Welt schickt.