Brute-Force-Angriff auf iCloud-Konten: Apple wusste angeblich um Schwachstelle
Ein Sicherheitsforscher hat Apple im März über eine Lücke informiert, die es ermöglichte, Passwörter für iCloud-Benutzerkonten ungehindert auszuprobieren. Die Methode wurde möglicherweise beim Diebstahl von Nacktbildern angewendet.
- Leo Becker
Apple ist eine Brute-Force-Schwachstelle in iCloud offenbar seit März bekannt gewesen, wie The Daily Dot berichtet. Der Sicherheitsforscher Ibrahim Balic hatte den iPhone-Hersteller am Ende des Monats darauf hingewiesen – sowohl mit einer E-Mail an das Sicherheits-Team als auch durch einen Bugreport.
Ihm sei möglich, etwas über 20.000 Passwortkombinationen bei jedem beliebigen iCloud-Account ungehindert durchzuprobieren, schreibt Balic dort – das gleiche Problem habe er auch bei Google festgestellt und dort bereits eine Reaktion erhalten.
Apples Security-Team konnte die Schwachstelle offenbar nicht reproduzieren und forderte einem veröffentlichten Schreiben zufolge Anfang Mai weitere Informationen von Balic – mit dessen Methode würde es "außerordentlich lange" dauern, um einen "Authentifizierungs-Token" für iCloud-Konten zu erhalten, erklärte ein Apple-Mitarbeiter.
Wenige Tage vor der breiteren Veröffentlichung von zahlreichen Nacktfotos einer Reihe von US-Prominenten, war ein Skript aufgetaucht, das ebenfalls einen Brute-Force-Angriff auf iCloud-Accounts über die Schnittstelle Find my iPhone ermöglichte – den Angriffspunkt beseitigte Apple kurze Zeit später.
Ob diese Schwachpunkte für den Angriff auf die Promi-Accounts ausgenutzt wurden, bleibt allerdings offen. Hätte Apple die gemeldete Sicherheitslücke ernster genommen, wäre das Problem der geklauten Fotos vielleicht gar nicht erst entstanden, glaubt Balic. Apple hat mehrfach betont, die Angriffe seien über Phishing und andere gezielte Techniken erfolgt, eine Schwachstelle bei iCloud liege nicht vor.
Als Reaktion auf den Foto-Diebstahl hat der iPhone-Hersteller die 2-Faktor-Authentifzierung deutlich ausgedehnt, sie erfordert nun beispielsweise auch beim Einrichten von iCloud-Accounts auf neuen Geräten zusätzlich zum Passwort des Nutzers die Eingabe einer PIN, die an ein vertrauenswürdiges Gerät geschickt wird. Allerdings bleibt die Schutzfunktion optional und ist auch nicht in allen Ländern verfügbar.
Balic hatte im vergangenen Jahr für Aufsehen gesorgt, weil er auf eine Schwachstelle gestoßen war, die den Zugriff auf Accounts bei Apples Entwicklerportal erlaubte. Das Unternehmen hatte im Anschluss das Dev-Center für rund einen Monat vom Netz genommen. Wie sich später herausstellte, hatten zwei Sicherheitsexperten eine weitere Schwachstelle an den Konzern gemeldet, die es ermöglichte, Code aus der Ferne auf Apples Servern einzuschleusen und auszuführen (lbe)
