Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen.
Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen. (Bild: Apple/Screenshot: Golem.de)

Sicherheitslücke Apples iForgot ermöglichte einfache Account-Übernahmen

Wer sein Passwort für eine Apple ID vergessen hat, muss normalerweise einige Sicherheitsabfragen bestätigen. Kurzzeitig reichten aber wenige Informationen, um beliebige Zugänge zu übernehmen. Die Sicherheitslücke zeigt, wie wichtig es ist, sich für solche Fälle vorzubereiten.

Anzeige

Apples Zugangssystem für Apple IDs hatte bis vor kurzem eine schwere Sicherheitslücke, wie Imore und The Verge übereinstimmend berichten.

Nach den ersten Berichten hat Apple recht schnell reagiert und die iForgot-Webseite außer Betrieb genommen. Das war auch notwendig, denn den Berichten zufolge genügten einfach zu erfahrene Informationen, um eine Apple ID mit einem neuen Passwort zu versehen. Es reichten die E-Mail-Adresse, das Geburtsdatum sowie eine spezielle URL des iForgot-Systems, um ein neues Passwort zu setzen.

Mit den entsprechenden Informationen ausgestattet, hatte der Angreifer Zugriff auf zahlreiche Dienste. Vergleichsweise harmlos ist der Zugriff auf die Musiksammlung. Unangenehm ist der Zugriff auf Fotos, Dokumente und Kontakte. Richtig gefährlich wird es, wenn der Angreifer so auch auf aktive Einstellungen von Find my Mac und Find my iPhone hat. Dann kann er nämlich die Geräte sperren oder gar löschen.

Die Auswirkungen einer Account-Übernahme spürte einmal der Wired-Journalist Matt Honan, dessen gesamtes digitales Leben ausgelöscht wurde. Damals hatten die Angreifer Apple-Mitarbeiter per Social-Engineering davon überzeugt, dass sie rechtmäßiger Besitzer des Zugangs sind. Mit der nun bekanntgewordenen Sicherheitslücke wäre der Aufwand wesentlich geringer gewesen.

Offlinesicherung ist wichtig

Ob die Sicherheitslücke bereits von Kriminellen in der Vergangenheit benutzt wurde, bevor sie The Verge zugespielt und nun geschlossen wurde, ist derzeit unbekannt. In jedem Falle empfiehlt es sich, neben den Onlinesicherungen seiner Geräte auch eine abgetrennte und aktuelle Offlinesicherung vorzuhalten, damit bei einem erfolgreichen Angriff nicht gleich alles gelöscht werden kann.

Die Sicherheitslücke wurde ausgerechnet kurz nach dem Start einer neuen Sicherheitsfunktion für Apple IDs bekannt. Apple unterstützt nun eine Zwei-Faktor-Authentifizierung. Allerdings beträgt die Wartezeit bis zur Aktivierung der neuen Funktion derzeit mehrere Tage.

Die meisten europäischen Nutzer dürfen die neue Funktion ohnehin noch nicht benutzen, wie 9to5mac berichtet. In Europa können nur Anwender aus Großbritannien, Nordirland und Irland den neuen Dienst nutzen.


SoniX 25. Mr 2013

Was genau meinst du damit? Etwa die lästige Frage nach meiner Telefonnummer? Die...

SoniX 25. Mr 2013

Jup, sind sie :-D Ich selbst tippe bei solchen Fragen, wie du auch, einfach irgendwas...

flike 25. Mr 2013

Quatsch. Apple war / ist enorm überbewertet und nun bringen sie eben keine Knaller mehr...

posix 24. Mr 2013

Ne es hat zu diesen Zeiten früher nur niemanden interessiert da Apple lange keine...

Kommentieren



Anzeige

  1. Berater "Security & Compliance" (m/w)
    Detecon International GmbH, Köln, München, Eschborn
  2. SAP Modulofficer PLM (m/w)
    Gebr. Heller Maschinenfabrik GmbH, Nürtingen
  3. Softwareentwickler (m/w) Instrumentensteuerung für hochauflösende Massenspektrometer
    Thermo Fisher Scientific (Bremen) GmbH, Bremen
  4. Senior WEB-Entwickler (m/w)
    Bittner+Krull Softwaresysteme GmbH, München

Detailsuche


Blu-ray-Angebote
  1. NEU: Blu-rays je 8,97 EUR oder günstiger
    (u. a. Who am I, The Amazing Spider-Man, Frankenweenie, Larry Flynt)
  2. VORBESTELLBAR: Terminator: Genisys Skull & 3D Steelbook (+Blu-ray) [Limited Edition]
  3. NEU: Kingsman - The Secret Service [Blu-ray]
    11,99€

Weitere Angebote


Folgen Sie uns
       


  1. Firmenchef

    Voice over LTE bei der Telekom "kommt später"

  2. Magnetfeld

    Die Smartwatch sendet Daten durch den Körper

  3. Film-Codecs

    Amazon gibt 500 Millionen Dollar für Startup aus

  4. Direkt zur CIA

    BND soll deutsche Telefonate in die USA geroutet haben

  5. RT-AC5300

    Asus' Igel- Router soll der weltweit schnellste sein

  6. Streaming

    Netflix beginnt Anfang 2016 mit HDR

  7. Datenschutz

    Spotify bessert nach - ein bisschen

  8. Kopenhagen

    Elektro-Carsharing mit der Busfahrkarte

  9. The Witcher 3

    Romantik-Optimierung per Patch

  10. RSA-CRT

    RSA-Angriff aus dem Jahr 1996 wiederentdeckt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Autonomes Fahren: Wer hat die besten Karten?
Autonomes Fahren
Wer hat die besten Karten?
  1. Nokia Ozo nimmt 360-Grad-Videos in Echtzeit auf
  2. Nokia Here Daimler will eigene Karten aus Angst vor Hackerattacken
  3. Kartendienst Nokia Here geht für 2,5 Milliarden an deutsche Autobauer

Ideapad Miix 700 im Hands On: Lenovo baut ein Surface
Ideapad Miix 700 im Hands On
Lenovo baut ein Surface
  1. Magenta Mobil Start Deutsche Telekom startet mit speziellem Kindertarif
  2. Smartphones, Tablets und eine Smartwatch Asus' Zen-Armada
  3. Smartwatches Motorola stellt neue Moto 360 und Moto 360 Sport vor

Primove in der Hauptstadt: Berlin hat wieder eine E-Bus-Linie
Primove in der Hauptstadt
Berlin hat wieder eine E-Bus-Linie
  1. Berliner Verkehrsbetriebe Update legt elektronischen Echtzeit-Fahrplan tagelang lahm
  2. Bombardier Primove Eine E-Busfahrt, die ist lustig
  3. Bombardier Primove Erste Tests mit Induktionsbussen in Berlin

  1. Re: Dann ist das Drosselargument ja bald hinfällig

    Onbak | 02:50

  2. Re: "offline braucht zu viel Speicher und zu viel...

    DASPRiD | 02:41

  3. Re: Und wann fangen sie mit "ruckelfrei" an?

    Tzven | 01:52

  4. Batterieschonend...

    kazhar | 01:24

  5. Absoluter Overkill

    0xLeon | 01:19


  1. 19:42

  2. 18:31

  3. 18:05

  4. 17:38

  5. 17:34

  6. 16:54

  7. 15:15

  8. 14:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel