Anzeige
Ein Entwickler hat Apple bereits im März 2014 über die Schwachstelle in Find My iPhone informiert.
Ein Entwickler hat Apple bereits im März 2014 über die Schwachstelle in Find My iPhone informiert. (Bild: Andreas Donath/Golem.de)

Find my iPhone: Apple weiß seit Monaten von iCloud-Schwachstelle

Ein Entwickler hat Apple bereits im März 2014 über eine Schwachstelle im Dienst Find my iPhone informiert. Darüber sollen sich Angreifer Zugang zu iCloud-Konten zahlreicher prominenter Frauen verschafft haben.

Anzeige

Auf die Schwachstelle in Apples Ortungsdienst Find My iPhone hat ein Entwickler bereits im Frühjahr hingewiesen. Ibrahim Balic beschrieb die Lücke in einer E-Mail an Apple, die Ende März 2014 in der Security-Abteilung von Apple einging. Bis Mai 2014 erhielt er ebenfalls E-Mails mit der Bitte, mehr Details zu der Schwachstelle zu liefern. In einer bezweifelt ein Apple-Mitarbeiter, dass die Schwachstelle effektiv ausgenutzt werden kann. Screenshots der E-Mails hat die Webseite The Daily Dot veröffentlicht.

Über das Login für den Ortungsdienst Find My iPhone konnten Angreifer eine unbegrenzte Anzahl von Passwörtern für eine bekannte Apple-ID ausprobieren. Balic hatte über 20.000 erprobt, schrieb er an Apple. Er würde mit seiner Brute-Force-Attacke vermutlich eine sehr lange Zeit brauchen, schrieb ein Apple-Mitarbeiter Monate später zurück.

Ausgenutzt durch iBrute

Kurz nachdem massenweise intime Fotos von prominenten Frauen im Internet aufgetaucht waren, veröffentlichte ein Unbekannter das Skript iBrute bei Github. Die in Python programmierte Anwendung nutze die von Balic beschriebene Schwachstelle aus. Kurz darauf schränkte Apple die Login-Versuche auf zehn ein. Nach diesen wird das Konto gesperrt und der Besitzer informiert.

Apple hat stets dementiert, dass die gehackten iCloud-Konten auf Schwachstellen in Apples Server-Infrastruktur zurückzuführen seien und gab beispielsweise Tipps, wie sichere Passwörter gesetzt werden können.

Es sei nicht das erste Mal, dass er schlechte Erfahrungen mit Apples Sicherheitsabteilung gemacht habe, sagt Balic. Zuvor hatte er eine Cross-Site-Scripting-Schwachstelle auf Apples Entwicklerwebseite entdeckt und gemeldet. Apple nahm die Webseite zwar umgehend aus dem Netz, meldete aber, ein Unbekannter habe versucht, die Webseite zu hacken. Erst später erkannte Apple seine Entdeckung an.


eye home zur Startseite
__destruct() 30. Sep 2014

Such du mir ein Beispiel aus. Ich habe mir ein Beispiel rausgesucht. Das ist der erste...

wasdeeh 29. Sep 2014

Du hast sicher auch überall das gleiche Passwort, gell?

neocron 26. Sep 2014

wo habe ich gelogen? richtig, gut, dass ich keine benoetigte, da ich hier nicht...

Esquilax 26. Sep 2014

Ich habe z.B. sicher schon ein Blackberry gesehen...ähm ich mein ein Kumpel hat das auf...

Realist_X 26. Sep 2014

#bentgate & #fappening - Jetzt dieser ganze Updatemurks mir iOS und nun das. Was erlauben...

Kommentieren



Anzeige

Stellenmarkt
  1. PENTASYS AG, München
  2. BG-Phoenics GmbH, München
  3. über Robert Half Technology, Frankfurt
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Hardware-Angebote
  1. 444,90€
  2. 349,00€

Folgen Sie uns
       


  1. Bruno Kahl

    Neuer BND-Chef soll den Dienst reformieren

  2. Onlinehandel

    Amazon sperrt Konten angeblich nur in seltenen Fällen

  3. The Assembly angespielt

    Verschwörung im Labor

  4. Kreditkarten

    Number26 wird Betrug mit Standortdaten verhindern

  5. Dobrindt

    1,3 Milliarden Euro mehr für Breitbandausbau in Deutschland

  6. Mini ITX OC

    Gigabyte bringt eine 17 cm kurze Geforce GTX 1070

  7. Autonomes Fahren

    Teslas Autopilot war an tödlichem Unfall beteiligt

  8. Tolino Page

    Günstiger Kindle-Konkurrent hat eine bessere Ausstattung

  9. Nexus

    Erste Nougat-Smartphones sollen von HTC kommen

  10. Hafen

    Die Schauerleute von heute sind riesig und automatisch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Battlefield 1 angespielt: Zeppeline, Sperrfeuer und die Wiedergeburtsspritze
Battlefield 1 angespielt
Zeppeline, Sperrfeuer und die Wiedergeburtsspritze
  1. Electronic Arts Battlefield 1 mit Wetter und Titanfall 2 mit Kampagne
  2. Dice Battlefield 1 spielt im Ersten Weltkrieg

Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

  1. ... für die privatisierung des bundesvermögens...

    Moe479 | 17:13

  2. Re: Schufa für "Rücksendesünder."?

    Unix_Linux | 17:12

  3. Re: never before has a generation so diligently...

    schotte | 17:08

  4. Video bei 1:06 - wackel wackel...

    Eheran | 17:08

  5. Re: Wäre nett gewesen, aber

    The_Soap92 | 17:08


  1. 17:04

  2. 16:53

  3. 16:22

  4. 14:58

  5. 14:33

  6. 14:22

  7. 13:56

  8. 13:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel