Lücke in Schlüsselbund erlaubte Auslesen von Passwörtern

Schlüssel - Symbolbild

Eine Sicherheitslücke gefährdet Passwörter und Logins in Apples Schlüsselbund. Die Schwachstelle ist in aktuellen Versionen von iOS und macOS bereits geschlossen, wurde aber jetzt erst von einem Sicherheitsforscher veröffentlicht.

Es ist die Arbeit eines Sicherheitsforschers, wie sie sein sollte: Zuerst ein Problem suchen, den Hersteller informieren, dann, nach Schließung der Lücke, wird die interessierte Fachöffentlichkeit aufgeklärt. Das setzt natürlich voraus, dass der Hersteller mitspielt, so wie im vorliegenden Fall. In Apples iCloud-Schlüsselbund klaffte eine Lücke, die es gut vorbereiteten Angreifern erlaubte, dort abgelegte Passwörter von Nutzeraccounts abzugreifen.

iCloud Logo

iCloud-Logo

Dabei wurde die hier von Apple verwendete Ende-zu-Ende-Verschlüsselung ausgehebelt, Cupertino setzt hier auf eine Abwandlung von Off-the-Record, einer Sicherheitserweiterung, die auch oft im XMPP-Protokoll Verwendung findet. Die Implementierung von Apple konnte so getäuscht werden, dass es ungültige Signaturen akzeptierte. In der Folge konnte ein Man-in-the-Middle-Angreifer neue Schlüssel aushandeln. Der Angriff klappte allerdings nur, wenn der Angreifer bereits Zugang zum iCloud-Konto des Ziels hatte. Beliebige Konten waren nicht gefährdet. Die Schwachstelle wurde bereits in iOS 10.3 und macOS 10.12.4 von Apple geschlossen.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Roman van Genabith
twitter Google app.net mail

5 Kommentare zu dem Artikel "Lücke in Schlüsselbund erlaubte Auslesen von Passwörtern"

  1. Carsten 24. Juli 2017 um 12:40 Uhr ·
    Naja nichts ist zu 100 Prozent sicher aber wenn es um Vertrauen geht dann gibts für mich nur „Apple “
    iLike 4
    • heyya 24. Juli 2017 um 16:22 Uhr ·
      Klingt für mich nach blindes Vertrauen, dass ist niemals gut, egal ob Apple oder nicht. Gerade schwächen in Schlüsselbund können zu katastrophalen Schäden führen. Apple ist auch nur ein Unternehmen wie alle anderen auch, bei mir gibt es kein Vertrauensbonus.
      iLike 2
      • Wolfgang 24. Juli 2017 um 17:28 Uhr ·
        Unter dem Aspekt das jeder Entwickler Fehler macht, ich aber das Gefühl habe Apple geht mit Datenschutz und Sicherheitsupdates besser um wie andere, bekommen sie schon einen Vertrauensbonus. Blind kann/darf man sich auf niemanden verlassen.
        iLike 3
      • moeNES 24. Juli 2017 um 20:13 Uhr ·
        Hallo Wolfgang, Ich kann deiner Meinung vollkommen zustimmen. Blindes Vertrauen in Technologie ist niemals gesund, vor allem wenn die Technologie nicht offen für jeden zugänglich ist. Da aber Apple durch viele Talks über Sicherheit und die eigene sehr ausführliche Sicherheitsdokumentation ausdrücklich zeigt, dass ein besonders wichtiger Faktor bei der Entwicklung der eigenen Geräte und Software die Sicherheit ist, kann ich ebenfalls feststellen dass es bei Apple um Sicherheit und Datenschutz um längen besser aussieht als bei anderen Herstellern, die sich beispielsweise keine Maßstäbe zur Privatsphäre bei der Entwicklung eigener Assistent-Software setzen. Für mich ist obiges ebenfalls eindeutig ein großer Vertrauensbonus, sicherlich ist absolut aber nicht zu sagen, dass Apple blindes Vertrauen verdient.
        iLike 1
  2. Inu 10. August 2017 um 04:00 Uhr ·
    Die hier beschriebene Vorgehensweise ist ein einziger Skandal. Bei Auftreten jeglicher Sicherheitslücke ist stets ZUERST die (interessierte) (Fach-) Öffentlichkeit zu informieren, da sie hier der eigentlich Betroffene ist, von daher VOR Problemangehung durch den Firm-/Softwareautor wenigstens die Möglichkeit haben soll/muß, sich SOFORT auf die Fakten einzustellen, und sei es auch zunächst auf anderen Wegen als dem Stopfen einer Sicherheitslücke durch die Programmierer von Apple!!
    iLike 0

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.