Brute-Force- Sicherheitslücke von iCloud geschlossen

(Bild: ZDnet.de)

Die Sicherheitslücke bei Apples iCloud, mit der ein Angreifer per Brute Force die Zugangsdaten fremder Anwender erlangen konnte, ist nach Angaben von Apple geschlossen worden. Sogar ein einfaches Tool namens iDict stand schon bereit, um die Hacks auszuführen.

Apple gelang es nach eigenen Angaben die Sicherheitslücke bei iCloud zu schließen. Das Tool iDict, das eine Brute-Force-Attacke gegen beliebige iCloud-Konten durchführen konnte, ist damit erst einmal wertlos geworden. Das Hack-Tool machte es dem Angreifer leicht: Er musste lediglich den Accountnamen eingeben, den Rest versuchte das Werkzeug mit einer Wörterbuchattacke automatisch zu erledigen. Die Sicherheitslücke bestand offenbar darin, dass Fehlversuche nicht zur Blockade führten. Problematisch: Auch eine eigentlich als sicher betrachtete Zwei-Faktor-Authentifizierung schützte gegen iDict nicht.

Wie es dem Hacker, der sich nur als „pr0x13“ bezeichnete, gelang, Apples Schutzmechanismen zu umgehen, ist nicht bekannt. Allerdings hatte er wohl selbst Apple mitgeteilt, wie ihm das Kunststück glückte, so dass eine schnelle Gegenwehr möglich wurde.

Durch die Veröffentlichung von Nacktfotos im Herbst 2014 geriet iCloud schon einmal in die Schlagzeilen. Seinerzeit hatten sich Hacker mithilfe des Crackertools iBrute Zugangsdaten von iCloud-Konten verschafft. Mit dem für forensische Zwecke gedachten Programm EPPB konnten sie mit dem Konto verbundene Daten herunterladen.
(Bild: Apple)
In der Folge hat Apple die Sicherheit für den Zugriff auf iCloud-Daten schrittweise erhöht. Zunächst aktivierte es die Zwei-Faktor-Authentifizierung und verschärfte diese Schutzmaßnahme wenig später, indem für Dritthersteller-Programme wie Thunderbird die Eingabe eines anwendungsspezifischen Passworts gefordert wurde. Dadurch wird sichergestellt, dass das primäre Apple-ID-Passwort nicht von Drittanbieter-Programmen erfasst und gespeichert wird.

Die Zwei-Faktor-Authentifizierung ist standardmäßig allerdings nicht aktiv. Um sie nutzen zu können, müssen Apple-Anwender unter Meine Apple-ID den Dienst, der im Apple-Jargon “zweistufige Bestätigung” genannt wird, einschalten. Außerdem benötigt Apple für die Aktivierung des Dienstes volle drei Tage. Mit “Sicherheitsgründen” erklärt der Apple-Support diese Wartezeit in seiner Bestätigungs-Mail, die er wiederum “zur Sicherheit an alle in Ihrem Account hinterlegten E-Mail-Adressen” sendet.

[Mit Material von Kai Schmerer, ZDnet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:ZDnet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising