Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Sicherheitslücke: Apples iForgot ermöglichte einfache Account-Übernahmen

Wer sein Passwort für eine Apple ID vergessen hat, muss normalerweise einige Sicherheitsabfragen bestätigen. Kurzzeitig reichten aber wenige Informationen, um beliebige Zugänge zu übernehmen. Die Sicherheitslücke zeigt, wie wichtig es ist, sich für solche Fälle vorzubereiten.
/ Andreas Sebayang
32 Kommentare News folgen (öffnet im neuen Fenster)
Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen. (Bild: Apple/Screenshot: Golem.de)
Das Geburtsdatum und die E-Mail-Adresse genügten, um auf diese Daten zuzugreifen. Bild: Apple/Screenshot: Golem.de

Apples Zugangssystem für Apple IDs hatte bis vor kurzem eine schwere Sicherheitslücke, wie Imore(öffnet im neuen Fenster) und The Verge(öffnet im neuen Fenster) übereinstimmend berichten.

Nach den ersten Berichten hat Apple recht schnell reagiert und die iForgot-Webseite(öffnet im neuen Fenster) außer Betrieb genommen. Das war auch notwendig, denn den Berichten zufolge genügten einfach zu erfahrene Informationen, um eine Apple ID mit einem neuen Passwort zu versehen. Es reichten die E-Mail-Adresse, das Geburtsdatum sowie eine spezielle URL des iForgot-Systems, um ein neues Passwort zu setzen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Mit den entsprechenden Informationen ausgestattet, hatte der Angreifer Zugriff auf zahlreiche Dienste. Vergleichsweise harmlos ist der Zugriff auf die Musiksammlung. Unangenehm ist der Zugriff auf Fotos, Dokumente und Kontakte. Richtig gefährlich wird es, wenn der Angreifer so auch auf aktive Einstellungen von Find my Mac und Find my iPhone hat. Dann kann er nämlich die Geräte sperren oder gar löschen.

Die Auswirkungen einer Account-Übernahme spürte einmal der Wired-Journalist Matt Honan, dessen gesamtes digitales Leben ausgelöscht wurde . Damals hatten die Angreifer Apple-Mitarbeiter per Social-Engineering davon überzeugt, dass sie rechtmäßiger Besitzer des Zugangs sind. Mit der nun bekanntgewordenen Sicherheitslücke wäre der Aufwand wesentlich geringer gewesen.

Offlinesicherung ist wichtig

Ob die Sicherheitslücke bereits von Kriminellen in der Vergangenheit benutzt wurde, bevor sie The Verge zugespielt und nun geschlossen wurde, ist derzeit unbekannt. In jedem Falle empfiehlt es sich, neben den Onlinesicherungen seiner Geräte auch eine abgetrennte und aktuelle Offlinesicherung vorzuhalten, damit bei einem erfolgreichen Angriff nicht gleich alles gelöscht werden kann.

Die Sicherheitslücke wurde ausgerechnet kurz nach dem Start einer neuen Sicherheitsfunktion für Apple IDs bekannt. Apple unterstützt nun eine Zwei-Faktor-Authentifizierung. Allerdings beträgt die Wartezeit bis zur Aktivierung der neuen Funktion derzeit mehrere Tage.

Die meisten europäischen Nutzer dürfen die neue Funktion ohnehin noch nicht benutzen, wie 9to5mac(öffnet im neuen Fenster) berichtet. In Europa können nur Anwender aus Großbritannien, Nordirland und Irland den neuen Dienst nutzen.

Zur Startseite 32 Kommentare

Relevante Themen

VerschlüsselungSoftwareSecuritySicherheitslücke2-FASocial EngineeringDatensicherheitApple