Feature Nacktfotos: Hacker verwendeten offenbar keine iCloud-Sicherheitslücke

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Mitglied seit
06.04.08
Beiträge
43.497
Die Veröffentlichung der zahlreichen Nacktbilder von Schauspielerinnen und Sängerinnen am vergangenen Wochenende scheint nicht auf eine Sicherheitslücke von iCloud zurückführbar zu sein. Dies geht aus einer ersten Stellungnahme von Apple nach der eingeleiteten Untersuchung hervor. Darin heißt es, dass es sich um einen gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen gehandelt habe.[prbreak][/prbreak]

Keine Sicherheitslücke

„Keiner der Fälle, die wir untersucht haben, ist durch irgendeine Lücke in irgendeinem System von Apple, einschließlich iCloud oder ‚Mein iPhone suchen‘, entstanden“, so Apple in einem Zwischenbericht nach der bisher 40-stündigen Untersuchung. Zuvor gab es die Vermutung, dass die Hacker aufgrund einer fehlenden Sicherheitsvorkehrung bei „Find my iPhone“ über eine Brute-Force-Attacke die Passwörter der Stars geknackt haben.

ElcomSoft Phone Password Breaker

Experten gehen mittlerweile davon aus, dass die Angreifer die frei erhältliche Software "ElcomSoft Phone Password Breaker" für den Diebstahl der Bilder verwendeten. Darauf deuten einerseits Aussagen der vermeintlichen Hacker selbst hin, andererseits aber auch Metadaten in den veröffentlichten Bildern. Das Programm von ElcomSoft ist eigentlich für Strafverfolgungsbehörden und Regierungseinrichtungen gedacht, kann jedoch von jedermann für 400 US-Dollar gekauft werden.

Die Software soll es ermöglichen, unter Angabe von Benutzername und Passwort ein iCloud-Backup herunterzuladen. Dies würde auch erklären, wie die Hacker in den Besitz von Videos gelangten. Denn im Fotostream werden diese nicht automatisch gespeichert, im iCloud-Backup hingegen schon. Das Backup wird außerdem nicht von der Zwei-Faktor-Authentifizierung geschützt.

Sicheres Passwort & Zwei-Faktor-Authentifizierung

Apple empfiehlt zum Schutz vor ähnlichen Angriffen neben der Verwendung von sicheren Passwörtern trotzdem auch die Aktivierung der Zwei-Faktor-Authentifizierung. Weitere Informationen dazu sind in einem Support-Artikel auf der Webseite von Apple nachzulesen. Neben dem iCloud-Backup ist jedoch auch der Fotostream nicht durch die Zwei-Faktor-Authentifizierung geschützt. Der zusätzliche Code wird lediglich benötigt, um Account-Daten anzuzeigen oder zu verändern, auf neuen Geräten Einkäufe im iTunes Store und App Store zu tätigen und Support im Zusammenhang mit der Apple-ID zu erhalten.

icloud.png
Via MacRumors (1|2)
 

Dwaorin

Gala
Mitglied seit
15.10.12
Beiträge
50
Vermutlich stammte nur ein Bruchteil der Bilder aus der iCloud, aber wie immer wird Apple als der Hauptschuldige angeprangert. Teilweise ist es als Tatsache hingestellt worden, dass die iCloud unsicher ist und natürlich über „Find my iPhone“ Zugriff erlangt wurde.

Wenigstens ist raus gekommen, dass e i n e Lücke geschlossen wurde ( :rolleyes: ). Wie viele es noch insgesamt gibt, werden wir erst erfahren, wenn Material öffentlich gemacht wird und diese Lücke nach ein paar Stunden geschlossen werden.

Aber, Apple muss ganz klar ein Mechanismus einpflegen mit dem der Fotostream und das Backup geschützt werden.

Nach dieser Sicherheits"panne" wird spannend, wie Apple nächsten Dienstag das mobile Bezahlen revolutionieren wird... der Schaden ist gewaltig.
 

echo.park

deaktivierter Benutzer
Mitglied seit
08.06.11
Beiträge
11.076
Es gab (!) die Lücke bei "Find my iPhone", das ist mittlerweile bestätigt, Apple hat die Lücke geschlossen. Dort war es möglich mit einem Script unbegrenzt Brute-Force-Attacken zu fahren. So konnten schwache Passwörter geknackt werden.

Ob das nun etwas mit den Promi-Fotos zu tun hat oder nicht, wie Apple behauptet, ist irrelevant.

Dass an dieser Stelle fehlgeschlagene Login-Versuche nicht gezählt und der Zugriff entsprechend gesperrt wurde, zeigt, welche Anfängerfehler immer wieder bei Apple passieren. Beim wertvollsten Unternehmen auf diesem Planeten schlicht lächerlich.

Gibt es bei Apple denn keine Security-Guidelines oder Policies, die genau solche Dinge adressieren?
 

iStefanG

Weigelts Zinszahler (Rotfranch)
Mitglied seit
03.11.10
Beiträge
247
Vermutlich stammte nur ein Bruchteil der Bilder aus der iCloud, aber wie immer wird Apple als der Hauptschuldige angeprangert. Teilweise ist es als Tatsache hingestellt worden, dass die iCloud unsicher ist und natürlich über „Find my iPhone“ Zugriff erlangt wurde.
Der Dienstanbieter (unabhängig welcher) ist immer der erste welcher in die Schusslinie gerät - egal wie geistlich beschnitten die User manchmal sein müssen was Passwörter angeht.

Hier ist aber natürlich des Markeninhabers noch ein wenig mehr schmerzempfunden bei den Usern vorhanden als bspw. bei Microsoft oder anderen.

Dabei kann es so einfach sein brauchbare und merkbare Passwörter zu erstellen und zu verwenden.

Wer eben ein für jedes Script/dahergelaufenen nachvollziehbares Passwort verwendet, der braucht sich meiner Meinung nach nicht zu wundern oder empört zu geben wenn er Opfer eines BF-Angriffs wird.

Hier kommt dann noch das Schlagzeilengeile "Promi" zum tragen. Da schaltet sich gleich FBI und Konsortien ein.

Das sicherste System der Welt bringt überhaupt nichts wenn der User am Ende ein Scheunentor öffnet aus reiner Bequemlichkeit.
 

iStationär

Russet-Nonpareil
Mitglied seit
11.04.10
Beiträge
3.753
Kann man irgendwo ausrechnen lassen wie lange es dauert sein Passwort knacken zu lassen?
 
  • Like
Wertungen: 3vilsimon

echo.park

deaktivierter Benutzer
Mitglied seit
08.06.11
Beiträge
11.076
Das sicherste System der Welt bringt überhaupt nichts wenn der User am Ende ein Scheunentor öffnet aus reiner Bequemlichkeit.
Im Falle von "Find my iPhone" in Verbindung mit besagtem Brute-Force-Script war das System eben nicht sicher!

Ansonsten gebe ich dir natürlich vollkommen recht.
 

Antwuan

Königsapfel
Mitglied seit
07.01.14
Beiträge
1.200
Ich kann mir aber auch nicht vorstellen dass Apple zugeben würde, dass der Fehler ihrerseits zustande gekommen sei. Das würde kaum ein Unternehmen zugeben.
 

Lurgo

Fießers Erstling
Mitglied seit
26.04.13
Beiträge
129
Darin heißt es, dass es sich um einen gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen gehandelt habe.
Aha Apple, und wo haben die all die Passwörter und Sicherheitsfragen dann bekommen? Der Brute Force Angriff wird nicht explizit dementiert.

Wenn ich dieses PR-Speak in normales Deutsch übersetze klingt das wie "Wir suchen, haben aber noch nix gefunden." Die Überschrift des ARtikels finde ich etwas unpassend: "offenbar" ist da null.
 

JohnnyBGoode

Ontario
Mitglied seit
14.01.10
Beiträge
343
Was die Realität auch sein möge, das öffentliche Statement von Apple (wie jedes anderen Unternehmens) wird durch eine LKW-Ladung von Anwälten gefiltert worden sein und wenn man das US-Justizsystem auch nur ansatzweise kennt, dürfte man wissen, dass ein freiwilliges Eingestehen von Fehlern etwa so häufig vorkommt wie vollkommener Weltfrieden ;)
 

iBär

Wohlschmecker aus Vierlanden
Mitglied seit
15.08.13
Beiträge
243

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Mitglied seit
06.04.08
Beiträge
43.497
Das ist die Ironie an der Sache. ;)
 

JohnnyBGoode

Ontario
Mitglied seit
14.01.10
Beiträge
343
Bin ja mal gespannt, ob einer der Mitbewerber vielleicht die eine oder andere betroffene "Prominente" anwerben wird, ironische Werbespots für die eigenen Dienste zu machen :)
 
  • Like
Wertungen: echo.park

BlackDice

Süssreinette (Aargauer Herrenapfel)
Mitglied seit
10.06.08
Beiträge
406
Kann man irgendwo ausrechnen lassen wie lange es dauert sein Passwort knacken zu lassen?
Ich hab hier mal eine schöne gif von Intel:
http://giphy.com/gifs/on-voices-blame-AbdYgRSKDrROU

Aber eigentlich kann man sagen ab 12 Zeichen ist der Aufwand zu groß als dass es etwas Gewinnbringendes schützen könnte. Alle meine Passworte haben mindestens 15 Zeichen und ich organisiere sie alle mit 1Password.

Hier hab ich auch noch mal eine interessante Seite gefunden:
http://www.1pw.de/brute-force.html
Weiter unten bei "Nutzung von Groß- Kleinbuchstaben und Zahlen" steht wie viel Tage/ Jahre man braucht.
 

Thkogel

Weigelts Zinszahler (Rotfranch)
Mitglied seit
15.11.13
Beiträge
248
Bin ja mal gespannt, ob einer der Mitbewerber vielleicht die eine oder andere betroffene "Prominente" anwerben wird, ironische Werbespots für die eigenen Dienste zu machen :)
...Samsungs neue Werbeidee; "Das wäre mit Android nicht passiert!" :):):)
 

produzor

Wohlschmecker aus Vierlanden
Mitglied seit
22.01.07
Beiträge
234
Experten gehen mittlerweile davon aus, dass die Angreifer die frei erhältliche Software "ElcomSoft Phone Password Breaker" für den Diebstahl der Bilder verwendeten. Die Software soll es ermöglichen, unter Angabe von Benutzername und Passwort ein iCloud-Backup herunterzuladen. Das Programm von ElcomSoft ist eigentlich für Strafverfolgungsbehörden und Regierungseinrichtungen gedacht, kann jedoch von jedermann für 400 US-Dollar gekauft werden.
Also wenn DAS mal keine Apple-Sicherheitslücke ist, weiß ich auch nicht! Da kann man jedem nur empfehlen, seine iPhone-Backups nur lokal abzuspeichern. Aber irgendwie auch nicht überraschend, dass ein US-Unternehmen eine Lücke für US-Behörden offen lässt, egal ob Apple, Microsoft, Facebook,...
 

Rantanplan

Alkmene
Mitglied seit
02.09.14
Beiträge
35
Dass an dieser Stelle fehlgeschlagene Login-Versuche nicht gezählt und der Zugriff entsprechend gesperrt wurde, zeigt, welche Anfängerfehler immer wieder bei Apple passieren. Beim wertvollsten Unternehmen auf diesem Planeten schlicht lächerlich.

Gibt es bei Apple denn keine Security-Guidelines oder Policies, die genau solche Dinge adressieren?
Sowas passiert halt auch bei den größten Unternehmen, was ich aber viel erschreckender finde, ist dass anscheinend Apple Mitarbeiter mit Zugriff auf die Kontaktdaten Prominente belästigen, so geschehen bei Eva Longoria.
So etwas ist ein absoluter Vertrauensbruch und ein nogo für eine Weltfirma.

Firmen wie Apple leben doch davon, dass prominente die Produkte zur Schau stellen.
 

ImpCaligula

deaktivierter Benutzer
Mitglied seit
05.04.10
Beiträge
13.859
Danke für die Links.... für ein neues Passwort würde ich die Webseiten ja nehmen... aber wollte eben eines meiner verwendeten Passwörter mal testen... aber irgendwie widerstrebte es mir auf einer mir unbekannten Webseite ein Passwort welches ich verwende dort in ein Textfeld einzugeben :D ....