Abo
  • Services:
Anzeige
Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen.
Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen. (Bild: Apple/Screenshot: Golem.de)

Sicherheitslücke: Apples iForgot ermöglichte einfache Account-Übernahmen

Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen.
Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen. (Bild: Apple/Screenshot: Golem.de)

Wer sein Passwort für eine Apple ID vergessen hat, muss normalerweise einige Sicherheitsabfragen bestätigen. Kurzzeitig reichten aber wenige Informationen, um beliebige Zugänge zu übernehmen. Die Sicherheitslücke zeigt, wie wichtig es ist, sich für solche Fälle vorzubereiten.

Apples Zugangssystem für Apple IDs hatte bis vor kurzem eine schwere Sicherheitslücke, wie Imore und The Verge übereinstimmend berichten.

Anzeige

Nach den ersten Berichten hat Apple recht schnell reagiert und die iForgot-Webseite außer Betrieb genommen. Das war auch notwendig, denn den Berichten zufolge genügten einfach zu erfahrene Informationen, um eine Apple ID mit einem neuen Passwort zu versehen. Es reichten die E-Mail-Adresse, das Geburtsdatum sowie eine spezielle URL des iForgot-Systems, um ein neues Passwort zu setzen.

Mit den entsprechenden Informationen ausgestattet, hatte der Angreifer Zugriff auf zahlreiche Dienste. Vergleichsweise harmlos ist der Zugriff auf die Musiksammlung. Unangenehm ist der Zugriff auf Fotos, Dokumente und Kontakte. Richtig gefährlich wird es, wenn der Angreifer so auch auf aktive Einstellungen von Find my Mac und Find my iPhone hat. Dann kann er nämlich die Geräte sperren oder gar löschen.

Die Auswirkungen einer Account-Übernahme spürte einmal der Wired-Journalist Matt Honan, dessen gesamtes digitales Leben ausgelöscht wurde. Damals hatten die Angreifer Apple-Mitarbeiter per Social-Engineering davon überzeugt, dass sie rechtmäßiger Besitzer des Zugangs sind. Mit der nun bekanntgewordenen Sicherheitslücke wäre der Aufwand wesentlich geringer gewesen.

Offlinesicherung ist wichtig

Ob die Sicherheitslücke bereits von Kriminellen in der Vergangenheit benutzt wurde, bevor sie The Verge zugespielt und nun geschlossen wurde, ist derzeit unbekannt. In jedem Falle empfiehlt es sich, neben den Onlinesicherungen seiner Geräte auch eine abgetrennte und aktuelle Offlinesicherung vorzuhalten, damit bei einem erfolgreichen Angriff nicht gleich alles gelöscht werden kann.

Die Sicherheitslücke wurde ausgerechnet kurz nach dem Start einer neuen Sicherheitsfunktion für Apple IDs bekannt. Apple unterstützt nun eine Zwei-Faktor-Authentifizierung. Allerdings beträgt die Wartezeit bis zur Aktivierung der neuen Funktion derzeit mehrere Tage.

Die meisten europäischen Nutzer dürfen die neue Funktion ohnehin noch nicht benutzen, wie 9to5mac berichtet. In Europa können nur Anwender aus Großbritannien, Nordirland und Irland den neuen Dienst nutzen.


eye home zur Startseite
SoniX 25. Mär 2013

Was genau meinst du damit? Etwa die lästige Frage nach meiner Telefonnummer? Die...

SoniX 25. Mär 2013

Jup, sind sie :-D Ich selbst tippe bei solchen Fragen, wie du auch, einfach irgendwas...

flike 25. Mär 2013

Quatsch. Apple war / ist enorm überbewertet und nun bringen sie eben keine Knaller mehr...

posix 24. Mär 2013

Ne es hat zu diesen Zeiten früher nur niemanden interessiert da Apple lange keine...



Anzeige

Stellenmarkt
  1. Rohde & Schwarz GmbH & Co. KG, München
  2. ETAS GmbH & Co. KG, Stuttgart
  3. MAX-DELBRÜCK-CENTRUM FÜR MOLEKULARE MEDIZIN, Berlin
  4. STAHLGRUBER GmbH, Poing bei München


Anzeige
Spiele-Angebote
  1. 49,99€
  2. 199,99€ - Release 13.10.
  3. 44,99€

Folgen Sie uns
       


  1. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  2. FTTH

    CDU für Verkauf der Telekom-Aktien

  3. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  4. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  5. Fahrdienst

    London stoppt Uber, Protest wächst

  6. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  7. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  8. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  9. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  10. Die Woche im Video

    Schwachstellen, wohin man schaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: SUbventionen sind unsinnig

    tingelchen | 17:54

  2. Re: Und bei DSL?

    bombinho | 17:51

  3. Re: Erstmal nachrechnen!

    DerDy | 17:49

  4. Re: Die letzte Meile

    plutoniumsulfat | 17:45

  5. Re: Skynet

    Der Held vom... | 17:45


  1. 15:18

  2. 13:34

  3. 12:03

  4. 10:56

  5. 15:37

  6. 15:08

  7. 14:28

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel