Schlüssel - Symbolbild

24. Juli 2017

Roman van Genabith

Lücke in Schlüsselbund erlaubte Auslesen von Passwörtern

Eine Sicherheitslücke gefährdet Passwörter und Logins in Apples Schlüsselbund. Die Schwachstelle ist in aktuellen Versionen von iOS und macOS bereits geschlossen, wurde aber jetzt erst von einem Sicherheitsforscher veröffentlicht.

Es ist die Arbeit eines Sicherheitsforschers, wie sie sein sollte: Zuerst ein Problem suchen, den Hersteller informieren, dann, nach Schließung der Lücke, wird die interessierte Fachöffentlichkeit aufgeklärt. Das setzt natürlich voraus, dass der Hersteller mitspielt, so wie im vorliegenden Fall. In Apples iCloud-Schlüsselbund klaffte eine Lücke, die es gut vorbereiteten Angreifern erlaubte, dort abgelegte Passwörter von Nutzeraccounts abzugreifen.

iCloud Logo
iCloud-Logo

Dabei wurde die hier von Apple verwendete Ende-zu-Ende-Verschlüsselung ausgehebelt, Cupertino setzt hier auf eine Abwandlung von Off-the-Record, einer Sicherheitserweiterung, die auch oft im XMPP-Protokoll Verwendung findet. Die Implementierung von Apple konnte so getäuscht werden, dass es ungültige Signaturen akzeptierte. In der Folge konnte ein Man-in-the-Middle-Angreifer neue Schlüssel aushandeln. Der Angriff klappte allerdings nur, wenn der Angreifer bereits Zugang zum iCloud-Konto des Ziels hatte. Beliebige Konten waren nicht gefährdet. Die Schwachstelle wurde bereits in iOS 10.3 und macOS 10.12.4 von Apple geschlossen.

Weitere Artikel

Spiderman vor Gericht: Es war der schlimmste Fehler meines Lebens

In Erwartung des iPhone 8: Chipnachfrage der Branche sinkt

5 Gedanken zu „Lücke in Schlüsselbund erlaubte Auslesen von Passwörtern“

    • Klingt für mich nach blindes Vertrauen, dass ist niemals gut, egal ob Apple oder nicht. Gerade schwächen in Schlüsselbund können zu katastrophalen Schäden führen. Apple ist auch nur ein Unternehmen wie alle anderen auch, bei mir gibt es kein Vertrauensbonus.
      • Unter dem Aspekt das jeder Entwickler Fehler macht, ich aber das Gefühl habe Apple geht mit Datenschutz und Sicherheitsupdates besser um wie andere, bekommen sie schon einen Vertrauensbonus. Blind kann/darf man sich auf niemanden verlassen.
      • Hallo Wolfgang, Ich kann deiner Meinung vollkommen zustimmen. Blindes Vertrauen in Technologie ist niemals gesund, vor allem wenn die Technologie nicht offen für jeden zugänglich ist. Da aber Apple durch viele Talks über Sicherheit und die eigene sehr ausführliche Sicherheitsdokumentation ausdrücklich zeigt, dass ein besonders wichtiger Faktor bei der Entwicklung der eigenen Geräte und Software die Sicherheit ist, kann ich ebenfalls feststellen dass es bei Apple um Sicherheit und Datenschutz um längen besser aussieht als bei anderen Herstellern, die sich beispielsweise keine Maßstäbe zur Privatsphäre bei der Entwicklung eigener Assistent-Software setzen. Für mich ist obiges ebenfalls eindeutig ein großer Vertrauensbonus, sicherlich ist absolut aber nicht zu sagen, dass Apple blindes Vertrauen verdient.
  2. Die hier beschriebene Vorgehensweise ist ein einziger Skandal. Bei Auftreten jeglicher Sicherheitslücke ist stets ZUERST die (interessierte) (Fach-) Öffentlichkeit zu informieren, da sie hier der eigentlich Betroffene ist, von daher VOR Problemangehung durch den Firm-/Softwareautor wenigstens die Möglichkeit haben soll/muß, sich SOFORT auf die Fakten einzustellen, und sei es auch zunächst auf anderen Wegen als dem Stopfen einer Sicherheitslücke durch die Programmierer von Apple!!

Die Kommentare sind geschlossen.