Apple-Store-Lücke erlaubt Angriff auf Sicherheits-PINs

Kunden von T-Mobile USA waren von einer potenziellen SIM-Entführung bedroht, da Apple Brute-Force-Angriffe erlaubte.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Apple-Store-Lücke erlaubt Angriff auf Sicherheits-PINs

Betroffene Anmeldeseite im Apple Online Store.

(Bild: Screenshot via Buzzfeed)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Über Apples Online-Laden war es möglich, an Account-PINs von Nutzern der US-Tochter von T-Mobile zu gelangen. Das hat ein Team von Sicherheitsforschern festgestellt. Mit den PINs werden Mobilfunkverträge bei dem Carrier abgesichert – sie sind unter anderem notwendig, um Verträge auf andere Personen zu übertragen, neue SIMs zu beauftragen oder Adressänderungen vorzunehmen. Angreifer hätten über die Lücke sogenannte SIM-Entführungen (SIM-Hijackings) vornehmen können – also das Übertragen einer Mobilfunknummer an eine unautorisierte Person. Damit sind dann wiederum andere Attacken möglich, etwa auf Banking-SMS (mTANs) oder Zwei-Faktor-Authentifizierungen per SMS.

Laut Angaben der Security-Experten Phobia und Nicholas “Convict” Ceraolo, die das Problem gegenüber Buzzfeed aufdeckten, fehlte einer Authentifizierungsseite im Apple Online Store, die zur Einrichtung neuer T-Mobile-iPhone-Bezahlverträge diente, ein Schutz gegen Brute-Force-Angriffe – es war offenbar kein Rate Limiting gesetzt, das dauernde Anfragen seitens eines Rechners der Angreifer nach einer bestimmten Zeit verhindert. Zum Brute Forcing waren die Mobilfunknummer und eine vierstellige PIN respektive die letzten vier Ziffern der Sozialversicherungsnummer notwendig. Vier Stellen lassen sich bei fehlendem Rate Limiting leicht per Brute Forcing ermitteln.

Die Seite ließ sich erreichen, indem man einen neuen iPhone-Einkaufsvorgang im Apple Online Store anstieß und dabei als Carrier T-Mobile wählte. Für andere Mobilfunkanbieter existiert diese Seite auch, dort war die Seite nach fünf bis zehn fehlerhaften Eingaben der PIN aber für jeweils 60 Minuten gesperrt, was das Brute Forcing erschwert. Ceraolo vermutet, Apple habe einen Fehler bei der Integration der Account-Validierungs-API von T-Mobile in seinen Online-Store gemacht.

Der Fehler ist mittlerweile behoben und es ist unklar, ob er jemals von echten Angreifern ausgenutzt wurde. Dennoch sollten Kunden ihre PIN sicherheitshalber ändern. Ceraolo und Phobia demonstrierten ein ähnliches Problem auch beim T-Mobile-Konkurrenten AT&T und dessen Servicepartner Asurion. Auch hier war es über eine Website möglich, die Sicherheits-PIN zu ermitteln. (bsc)