Original-URL des Artikels: https://www.golem.de/news/find-my-iphone-apple-weiss-seit-monaten-von-icloud-schwachstelle-1409-109448.html    Veröffentlicht: 25.09.2014 10:52    Kurz-URL: https://glm.io/109448

Find my iPhone

Apple weiß seit Monaten von iCloud-Schwachstelle

Ein Entwickler hat Apple bereits im März 2014 über eine Schwachstelle im Dienst Find my iPhone informiert. Darüber sollen sich Angreifer Zugang zu iCloud-Konten zahlreicher prominenter Frauen verschafft haben.

Auf die Schwachstelle in Apples Ortungsdienst Find My iPhone hat ein Entwickler bereits im Frühjahr hingewiesen. Ibrahim Balic beschrieb die Lücke in einer E-Mail an Apple, die Ende März 2014 in der Security-Abteilung von Apple einging. Bis Mai 2014 erhielt er ebenfalls E-Mails mit der Bitte, mehr Details zu der Schwachstelle zu liefern. In einer bezweifelt ein Apple-Mitarbeiter, dass die Schwachstelle effektiv ausgenutzt werden kann. Screenshots der E-Mails hat die Webseite The Daily Dot veröffentlicht.

Über das Login für den Ortungsdienst Find My iPhone konnten Angreifer eine unbegrenzte Anzahl von Passwörtern für eine bekannte Apple-ID ausprobieren. Balic hatte über 20.000 erprobt, schrieb er an Apple. Er würde mit seiner Brute-Force-Attacke vermutlich eine sehr lange Zeit brauchen, schrieb ein Apple-Mitarbeiter Monate später zurück.

Ausgenutzt durch iBrute

Kurz nachdem massenweise intime Fotos von prominenten Frauen im Internet aufgetaucht waren, veröffentlichte ein Unbekannter das Skript iBrute bei Github. Die in Python programmierte Anwendung nutze die von Balic beschriebene Schwachstelle aus. Kurz darauf schränkte Apple die Login-Versuche auf zehn ein. Nach diesen wird das Konto gesperrt und der Besitzer informiert.

Apple hat stets dementiert, dass die gehackten iCloud-Konten auf Schwachstellen in Apples Server-Infrastruktur zurückzuführen seien und gab beispielsweise Tipps, wie sichere Passwörter gesetzt werden können.

Es sei nicht das erste Mal, dass er schlechte Erfahrungen mit Apples Sicherheitsabteilung gemacht habe, sagt Balic. Zuvor hatte er eine Cross-Site-Scripting-Schwachstelle auf Apples Entwicklerwebseite entdeckt und gemeldet. Apple nahm die Webseite zwar umgehend aus dem Netz, meldete aber, ein Unbekannter habe versucht, die Webseite zu hacken. Erst später erkannte Apple seine Entdeckung an.  (jt)


Verwandte Artikel:
Mobile Games: Apple setzt Gewinnwahrscheinlichkeit bei Lootboxen durch   
(09.03.2018, https://glm.io/133254 )
Cloud Computing: AWS und Google hosten die iCloud, bestätigt Apple   
(26.02.2018, https://glm.io/133003 )
Streit mit Google: Amazon löscht Chromecast-Eintrag wieder   
(09.03.2018, https://glm.io/133237 )
iPhone X: Zwei Argumente halten Apple-Kunden vom Kauf ab   
(07.03.2018, https://glm.io/133202 )
Apples neue Firmenzentrale: Wer im Glashaus arbeitet, knallt auch mal gegen Wände   
(07.03.2018, https://glm.io/133195 )

© 1997–2020 Golem.de, https://www.golem.de/