Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen.
Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen. (Bild: Apple/Screenshot: Golem.de)

Sicherheitslücke Apples iForgot ermöglichte einfache Account-Übernahmen

Wer sein Passwort für eine Apple ID vergessen hat, muss normalerweise einige Sicherheitsabfragen bestätigen. Kurzzeitig reichten aber wenige Informationen, um beliebige Zugänge zu übernehmen. Die Sicherheitslücke zeigt, wie wichtig es ist, sich für solche Fälle vorzubereiten.

Anzeige

Apples Zugangssystem für Apple IDs hatte bis vor kurzem eine schwere Sicherheitslücke, wie Imore und The Verge übereinstimmend berichten.

Nach den ersten Berichten hat Apple recht schnell reagiert und die iForgot-Webseite außer Betrieb genommen. Das war auch notwendig, denn den Berichten zufolge genügten einfach zu erfahrene Informationen, um eine Apple ID mit einem neuen Passwort zu versehen. Es reichten die E-Mail-Adresse, das Geburtsdatum sowie eine spezielle URL des iForgot-Systems, um ein neues Passwort zu setzen.

Mit den entsprechenden Informationen ausgestattet, hatte der Angreifer Zugriff auf zahlreiche Dienste. Vergleichsweise harmlos ist der Zugriff auf die Musiksammlung. Unangenehm ist der Zugriff auf Fotos, Dokumente und Kontakte. Richtig gefährlich wird es, wenn der Angreifer so auch auf aktive Einstellungen von Find my Mac und Find my iPhone hat. Dann kann er nämlich die Geräte sperren oder gar löschen.

Die Auswirkungen einer Account-Übernahme spürte einmal der Wired-Journalist Matt Honan, dessen gesamtes digitales Leben ausgelöscht wurde. Damals hatten die Angreifer Apple-Mitarbeiter per Social-Engineering davon überzeugt, dass sie rechtmäßiger Besitzer des Zugangs sind. Mit der nun bekanntgewordenen Sicherheitslücke wäre der Aufwand wesentlich geringer gewesen.

Offlinesicherung ist wichtig

Ob die Sicherheitslücke bereits von Kriminellen in der Vergangenheit benutzt wurde, bevor sie The Verge zugespielt und nun geschlossen wurde, ist derzeit unbekannt. In jedem Falle empfiehlt es sich, neben den Onlinesicherungen seiner Geräte auch eine abgetrennte und aktuelle Offlinesicherung vorzuhalten, damit bei einem erfolgreichen Angriff nicht gleich alles gelöscht werden kann.

Die Sicherheitslücke wurde ausgerechnet kurz nach dem Start einer neuen Sicherheitsfunktion für Apple IDs bekannt. Apple unterstützt nun eine Zwei-Faktor-Authentifizierung. Allerdings beträgt die Wartezeit bis zur Aktivierung der neuen Funktion derzeit mehrere Tage.

Die meisten europäischen Nutzer dürfen die neue Funktion ohnehin noch nicht benutzen, wie 9to5mac berichtet. In Europa können nur Anwender aus Großbritannien, Nordirland und Irland den neuen Dienst nutzen.


SoniX 25. Mär 2013

Was genau meinst du damit? Etwa die lästige Frage nach meiner Telefonnummer? Die...

SoniX 25. Mär 2013

Jup, sind sie :-D Ich selbst tippe bei solchen Fragen, wie du auch, einfach irgendwas...

flike 25. Mär 2013

Quatsch. Apple war / ist enorm überbewertet und nun bringen sie eben keine Knaller mehr...

posix 24. Mär 2013

Ne es hat zu diesen Zeiten früher nur niemanden interessiert da Apple lange keine...

Kommentieren



Anzeige

  1. Engineer (m/w) Signal Processing
    Bosch Sensortec GmbH, Reutlingen
  2. Customer Project Manager/in
    Robert Bosch GmbH, Plochingen
  3. Quality- & Service-Manager/in SAP-Entwicklung
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Spezialist (m/w) Technischer Support
    PTV Planung Transport Verkehr AG, Karlsruhe

 

Detailsuche


Blu-ray-Angebote
  1. Fast & Furious 7 [Blu-ray]
    21,99€ mit Vorbesteller-Preisgarantie
  2. NEU: 3D Blu-rays zum Sonderpreis
    (u. a. Transformers 4 für 17,97€, Star Trek 12 für 13,97€, Hänsel und Gretel 13,97€)
  3. 3 Blu-rays für 20 EUR
    (u. a. Man of Steel, Der große Gatsby, Ohne Limit, Inception)

 

Weitere Angebote


Folgen Sie uns
       


  1. Mini-PCs unter Linux

    Installation schwer gemacht

  2. Game Development

    Golem.de lädt zum Tech Summit ein

  3. Khronos Group

    Grafik-API Vulkan erscheint für die Playstation 4

  4. Mobilfunk

    Gericht untersagt verändertes SIM-Karten-Pfand

  5. League of Legends & Co

    Moba-Spieler investieren 24,92 US-Dollar in ihr Aussehen

  6. Stellenanzeige

    Golem.de sucht Redakteur/-in für IT-Sicherheit

  7. Studie

    Spracherkennungs-Apps am Steuer erhöhen die Unfallgefahr

  8. Minister

    Keine Förderung mehr unter 50 MBit/s

  9. Onion Omega

    Preiswertes Bastelboard für OpenWrt

  10. Noki

    Intelligentes Türschloss ohne Umbauten installierbar



Haben wir etwas übersehen?

E-Mail an news@golem.de



Fire TV mit neuer Firmware im Test: Streaming-Box wird vielfältiger
Fire TV mit neuer Firmware im Test
Streaming-Box wird vielfältiger
  1. Update Amazon wertet Fire TV auf
  2. Workshop Kodi bequemer auf Amazons Fire TV verwenden
  3. Streaming-App Allcast für iOS ist fertig

Galaxy S6 im Test: Lebe wohl, Kunststoff!
Galaxy S6 im Test
Lebe wohl, Kunststoff!
  1. Galaxy S6 Active Samsungs wasserdichtes Topsmartphone
  2. Galaxy S6 und S6 Edge im Hands on Rund, schnell, teuer
  3. Galaxy S6 und Edge-Variante Samsungs neue Top-Smartphones im Glaskleid

Banana Pi M2 angesehen: Noch kein Raspberry-Pi-Killer
Banana Pi M2 angesehen
Noch kein Raspberry-Pi-Killer
  1. Die Woche im Video Galaxy S6 gegen One (M9), selbstbremsende Autos und Bastelei
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern

  1. Re: Nach Verlassen der Wohnung wird die Tür...

    Endwickler | 12:37

  2. Re: Das ist kein Test von Mini-PCs, sondern von...

    widardd | 12:37

  3. Re: Toilettenspülung per Smartphone

    der_wahre_hannes | 12:36

  4. Re: naja...

    der_wahre_hannes | 12:36

  5. Re: Wenn man dazu das Gerät ausschalten muss wäre...

    schily | 12:35


  1. 12:00

  2. 11:53

  3. 10:41

  4. 10:35

  5. 10:21

  6. 10:05

  7. 09:15

  8. 09:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel