Apple zum Promi-Nacktfoto-Klau: Angriffe auf iCloud-Konten, aber keine SicherheitslĂĽcke

Der gezielte Angriff auf Promi-Accounts bei iCloud habe Dieben den Zugang zu Nacktfotos verschafft, räumte der iPhone-Hersteller nun ein – die hauseigenen Cloud-Systeme seien aber nicht "durchbrochen" worden.

In Pocket speichern vorlesen Druckansicht 353 Kommentare lesen
Lesezeit: 2 Min.

Ein "sehr gezielter Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen" habe Unbekannten den Diebstahl von Nacktfotos aus iCloud-Accounts von Prominenten wie der Schauspielerin Jennifer Lawrence ermöglicht. Dies teilte Apple nach einer ersten Untersuchung mit. Eine Schwachstelle in den eigenen Cloud-Systemen habe man bisher hingegen nicht finden können, betonte der iPhone-Hersteller – weitere Details wurden nicht genannt.

Kirsten Dunst "dankt" iCloud auf Twitter

Um sich gegen derartige Angriffe zu schützen, empfiehlt Apple, ein sicheres Passwort zu verwenden und die Zwei-Faktor-Authentifizierung zu aktivieren – diese schützt allerdings nur in sehr spezifischen Fällen, beispielsweise wenn ein Angreifer versucht, das Passwort zurückzusetzen oder Einstellungen in der Apple-ID-Verwaltung zu ändern.

Nach einer Analyse des Sicherheitsforscher Jonathan Zdziarski stammen die gestohlenen Nacktfotos aus iCloud-Backups, die wohl über einen längeren Zeitraum gesammelt wurden. Die Diebe haben dafür möglicherweise eine Forensiksoftware eingesetzt, die iCloud-Backups von Apples Servern herunterladen und öffnen kann – unter Kenntnis von Benutzernamen und Passwort (oder eines Authentifizierungstokens). Der Download von iCloud-Backups ist nicht durch die Zwei-Faktor-Authentifizierung geschützt.

Mit dem Skript ließen sich iCloud-Passwörter durchprobieren

Wie die Angreifer in den Besitz von Acocunt-Namen und Passwörtern kamen, bleibt unklar. Das vor wenigen Tagen veröffentlichte Skript "iBrute" demonstrierte, dass sich über die "Mein iPhone suchen"-Schnittstelle leicht eine größere Zahl von Benutzernamen und Passwort-Kombinationen automatisiert durchprobieren ließ, weil Apple dort keine Login-Bremse eingebaut hatte. Dies wurde inzwischen behoben. Laut Apple sind iCloud und der Dienst "Mein iPhone suchen" aber nicht "durchbrochen" worden.

Unbekannte hatten die Fotos unter dem Titel "The Fappening" am Sonntag veröffentlicht. Zu den Betroffenen zählt unter anderem auch das Model Kate Upton und die Schauspielerin Kirsten Dunst. Die US-Bundespolizei FBI fahndet nach den Tätern. (lbe)