Apple: Sicherheitslücke in Account-Recovery-Tool

Die Serie von entdeckten Sicherheitslücken bei Apple reißt nicht ab. Nachdem der Konzern gerade erst mit einem iOS-Update die wochenlang offene Codesperren-Lücke geschlossen und in einigen Ländern (nicht aber in Deutschland) die Zwei-Faktor-Authentifizierung für Apple-IDs eingeführt hat, gibt neue Probleme: Das US-amerikanische Tech-Blog The Verge berichtet glaubhaft, dass es geklappt hat, lediglich mit der Mail-Adresse sowie dem Geburtsdatum eines Apple-ID-Inhabers über eine spezielle URL den Passwort-Zurücksetzen-Mechanismus auszulösen.

Dies sei bis zum gestrigen 22. März über das Passwort-Recovery-Tool auf der Apple-Site möglich gewesen. Mit den Trick habe sich ein Angreifer Zugang zu allen Apple-Diensten verschaffen sowie den Account von innen verriegeln können. Wie The Verge weiter berichtet, habe Apple auf Anfrage das Sicherheitsloch bestätigt, den Recovery-Service vom Netz genommen und wenig später ohne die Riesenlücke wieder online gestellt.

Services zum Zurücksetzen von Passwörtern gelten als Hauptangriffspunkte bei Diensten, die lediglich mit einer ID-Passwort-Kombination gegen fremden Zugriff gesichert sind. Gelangt ein Angreifer in das Apple-Kundenkonto, erhält er nicht nur die dort hinterlegten Kreditkartendaten, sondern auch Zugang etwa zum iCloud-Account des Kunden oder unter Umständen zu Services anderer Anbieter. Welche Auswirkungen das haben kann, hat c't zuletzt im Artikel "Risiko Identitätsklau" (Heft 24/12) erläutert. (hob)