Gravierende iCloud-Sicherheitslücke nicht für Nacktbilder verantwortlich

Die iCloud-Sicherheitslücke bei Find My iPhone war nach Apples Angaben offenbar nicht für die die Hacks der Nacktbilder verantwortlich. Nichtsdestotrotz hat sie tatsächlich existiert. Auch Apples Zwei-Faktor-Authentifizierung hätte die Nutzer nicht vor einem Hack geschützt. Apple muss sein Sicherheitskonzept dringend überarbeiten.

Von   Uhr
2 Minuten Lesezeit

Apple hat nach mehr als 40-stündiger intensiver Recherche verkündet, dass keine Sicherheitslücken in der iCloud oder in Find My iPhone für den Hack der Promi-Nacktbilder verantwortlich seien. Der oder die Hacker hätten keine Brute-Force-Attacke genutzt. Stattdessen wurden die Konten über die Passwort-Reset-Methode kompromittiert. Die Hacker hätten den Nutzer-Namen der Prominenten herausgefunden, die Sicherheitsfrage erraten und das Passwort zurückgesetzt.

Die bisher für die Hacks als verantwortlich geltende Sicherheitslücke in Find My iPhone hat bis zum vergangenen Montag allerdings tatsächlich existiert. Da Find My iPhone keine Verzögerung bei der Passwort-Eingabe verlangte, war das Programm mit einer Brute-Force-Methode angreifbar. Dieses Angriffsszenario wurde in einschlägigen Programmier-Foren bereits diskutiert. Mit iBrute wurde wenige Tage bevor die Nacktbilder geleakt wurden, zudem ein spezielles Programm veröffentlicht, dass auf Apples iCloud zugeschnitten war.

Um den Reset des Passworts durch Unbefugte zu erschweren gibt es mehrere Möglichkeiten. Neben einem möglichst sicheren Passwort, sollte auch eine komplexe Sicherheitsfrage verwendet werden. Zudem sollten Nutzer für jeden Dienst ein anderes Passwort verwenden. Außerdem bietet Apple eine Zwei-Faktor-Sicherung an. Dabei koppelt der Nutzer sein iPhone, iPad oder MacBook mit seinem iCloud-Account mihilfe eines vierstelligen PIN-Codes.

Apples Zwei-Faktor-Sicherung hat allerdings seine eigenen Schwachstellen. Hat ein Nutzer sie aktiviert und er registriert sein neues iPhone mit seiner AppleID, aber nicht mit dem PIN-Code, sind nur einige wenige Funktionen gesperrt. Der Nutzer bekommt keinen AppleID-Support für sein Gerät, hat keinen Zugang zur AppleID-Konsole und kann keine Einkäufe über iTunes, iBooks und den App Store tätigen. Alle anderen Funktionen, zum Beispiel der Abruf der Back-Ups, sind trotzdem möglich.

Zwar testet Apple seit Ende Juni 2014 auch eine Zwei-Faktor-Athentifizierung für die Dienste Kalender, Webmai, Kontakte und andere Dienste. Bisher ist die Authentifizierung für diese Dienste jedoch noch nicht in allen iCloud-Konten implementiert.

Kommentar

Wir brauchen eine Diskussion über die Sicherheit von Apples Diensten. Immer mehr private Daten landen in der iCloud oder einem der angeschlossenen Dienste, die alle Internet-basiert sind. Allerdings opfert das Unternehmen zu oft Sicherheit zugunsten von Bequemlichkeit für den Nutzer.

Bisher hatte Apple keine großen Probleme in Bezug auf Viren oder Hacker. Das liegt jedoch nicht an Apples Software, sondern daran, dass der weltweite Marktanteil von OS X im Vergleich zu Windows sehr gering ist. Er bewegt sich seit einigen Jahren zwischen 6,5 und 7,5 Prozent. Bei iOS hat Apple allerdings einen deutlich größeren Marktanteil und ist deshalb zu einem attraktiven Ziel für Hacker geworden. Gegen Viren hilft das restriktive Installations-System Apples, das keine Installation von Fremd-Programmen zulässt. Gegen Hacker bringt das nichts.

Apple kommt also nicht darum herum, den Datenschutz und die Sicherheit seiner Dienste deutlich zu verbessern. Eine Sicherheitslücke wie bei Find My iPhone darf es eigentlich seit 10 Jahren nicht mehr geben. Zumal es eine recht einfache Methode gibt, sie zu beheben.

Diskutiere mit!

Hier kannst du den Artikel "Gravierende iCloud-Sicherheitslücke nicht für Nacktbilder verantwortlich" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Ich hab das gleich gesagt: Gut eine Woche vor der Keynote am 9.9. kommt so ein Ei daher - iCloud geknackt und Promi-Nacktbilder gehackt. DAS ist kein ZUFALL. Natürlich waren es die Russen. Ist ja klar. Oder vielleicht doch die Koreaner, denn dort sitzt ja der Hauptkonkurrent.

EGAL. War ein Ei. Genau so wie, dass nächste Woche zwei neue Bidlschirmgrößen von iPhone 6 kommen (sollen). Ab und zu mal Gehirn einschalten!

Herr Grabmair, lesen Sie Ihre Artikel eigentlich?
Machen Sie mal.

Die Kommentare für diesen Artikel sind geschlossen.