1. September 2014

Aaron Baumgärtner

iCloud-Leck: Apple entfernt den wunden Punkt [UPDATE]

Heute Morgen berichteten wir über eine iCloud-Manipulation, wodurch Hacker an private und intime Bilder prominenter Personen gelangen sind. Eine mögliche Erklärung hierfür könnte ein Problem bei Apples Dienst „Mein iPhone suchen“ darstellen.

Zunächst wurde die Ursache in einer Sicherheitslücke in iCloud gesehen.

Nun tauchen jedoch Scripte auf, die bereits vor zwei Tagen auf entsprechenden Hacker-Seiten publiziert worden sind. Diese Scripte sollen es möglich machen Passwörter zu passenden Apple IDs mittels sogenannten Brute Force-Agriff herauszusuchen. Das System dahinter ist denkbar einfach – so wird einfach ein Pool von verschiedenen Passwörtern durchprobiert, um den passenden Code zu finden. Das Problem: Apple sperrt nicht nach mehreren Fehlversuchen den Login zeitweise, wie es eigentlich üblich ist. So konnte das Tool ungestört arbeiten.

Auf diese Weise lassen sich die aufgetauchten Bilder erklären, die durch den kompletten Zugriff auf die iCloud angezeigt werden können. Apple soll momentan bereits an einer Lösung arbeiten, die die entsprechenden Apple IDs sperren, sobald fünf Mal hintereinander ein falsches Passwort eingegeben wurde. Dann muss das Passwort zurückgesetzt werden. Ein Statement liegt bislang noch nicht vor.

UPDATE: Apple hat nun reagiert:

We take user privacy very seriously and are actively investigating this report

Weitere Artikel

Studie: iPhone 6 mit Saphirglas größter Kundenwunsch

5,5 Zoll iPhone Air: Dimensionen des iPhone-Jumbos im Video

16 Gedanken zu „iCloud-Leck: Apple entfernt den wunden Punkt [UPDATE]“

      • Ja genau diesrs Problem hatte ich auch, schon ein Jahr her, aber eine Person kamm an Bilder von meinem iPhone, ich dan aber auch an seine Kontakte, leider hat Apple bis jetzt sich nicht mehr gemeldet wegen diesem Vorfall, das finde ich ein wenig daneben, ich kann aber alles mit Screenshots belegen
  2. Also da hat sich apple einen ziemlich groben Schnitzer erlaubt .. diese Art von „Sicherheit“ ist doch schon seit Jahren überall im Einsatz.. selbst am iPhone gibt es diese Zeitsperre.. Da haben sie Mist gebaut ..
  4. Ich sehe hier die Schuld ganz klar bei Apple. Dieses Sicherheitsleck hätte es nicht geben dürfen. Und wie andere schon geschrieben haben, nach einer bestimmten Anzahl an Fehlversuchen muss Schluss sein. Schade, dass erst so etwas passieren muss bevor Apple so eine Lücke schließt. Ob ein einfaches oder ein kompliziertes Passwort ist mittlerweile egal. Ein einfaches Passwort ist nach 2-3 Sekunden geknackt, ein kompliziertes Passwort zu knacken welches abstrakt ist und 12-14 Stellen hat dauert in der Regel nur noch ein bis zwei Stunden. Hier hat Apple einfach gepennt. Punkt! Ich erwarte von einer Firma viel Apple, dass wenn ein Dienst angeboten wird ich Ihnen auch vollumfänglich nutzen kann, ohne mir Sorgen über meine Daten machen zu müssen. Noch besorgniserregender finde ich, dass sogar Bilder wiederhergestellt wurden, die angeblich schon gelöscht waren. Und das vor langer Zeit sogar schon.
    • Das mit den gelöschten Bildern macht mir viel mehr sorgen als der Bruteforce. Bei letzterem kommt eine Sperre nach 3-10 Versuchen und gut ist. Da wird Apple nachbessern schnell. Aber das bei der Aktion bekannt wurde, dass gelöschte Bilder weiter wieder hergestellt, oder gar irgendwo noch gespeichert bleiben, ist meiner Meinung nach hier das viel interessantere und ungleich größere Problem, dem man schnellstens nachgehen sollte, und auch öffentlich einmal zur getrennten Diskussion stellen sollte.
      • Wenn man bei Apple mit einer einfachen Brute Force Attake rein kommt dann brauch man sich auch keine Gedanken mehr darüber machen ob die NSA an die privaten Daten kommt… Schade
      • Darüber, ob die NSA an deine Daten kommt, brauchst du dir den Kopf ohnehin nicht zerbrechen. Sie kommt an alle ran. Punkt. Dazu bedarf es keiner Sicherheitslücke, da die IT-Untenehmen in den USA per Gesetz dazu verpflichtet sind sowohl teilweise Schnittstellen für die Behörden einzurichten, oder auf Anfrage einfach entsprechende Daten herauszugeben. In den AGB der meisten Unternehmen findest du darauf sogar den Hinweis, und erklärst dich mit Zustimmung zu den Nutzungsbedingungen, oder per Nutzung der Dienste, damit einverstanden. Im Übrigen überwacht die NSA den gesamten Inlandsverkehr, sowie alles was von außerhalb kommt, und zeichnet (speichert) diesen global auf. Alles. Von Telefongesprächen über email bis zu jedem anderen Datentraffic. Dafür hat Sie ein eigens aufgebautes Rechenzentrum, und ehemalige NSA-Mitarbeiter haben dies bereits öffentlich bestätigt. Es gibt keinen Schutz von Daten mehr in den USA. So einfach ist das. :)

Die Kommentare sind geschlossen.