Home » Apple » iCloud-Leck: Apple entfernt den wunden Punkt [UPDATE]

iCloud-Leck: Apple entfernt den wunden Punkt [UPDATE]

Heute Morgen berichteten wir über eine iCloud-Manipulation, wodurch Hacker an private und intime Bilder prominenter Personen gelangen sind. Eine mögliche Erklärung hierfür könnte ein Problem bei Apples Dienst „Mein iPhone suchen“ darstellen.

Zunächst wurde die Ursache in einer Sicherheitslücke in iCloud gesehen.

Nun tauchen jedoch Scripte auf, die bereits vor zwei Tagen auf entsprechenden Hacker-Seiten publiziert worden sind. Diese Scripte sollen es möglich machen Passwörter zu passenden Apple IDs mittels sogenannten Brute Force-Agriff herauszusuchen. Das System dahinter ist denkbar einfach – so wird einfach ein Pool von verschiedenen Passwörtern durchprobiert, um den passenden Code zu finden. Das Problem: Apple sperrt nicht nach mehreren Fehlversuchen den Login zeitweise, wie es eigentlich üblich ist. So konnte das Tool ungestört arbeiten.

Auf diese Weise lassen sich die aufgetauchten Bilder erklären, die durch den kompletten Zugriff auf die iCloud angezeigt werden können. Apple soll momentan bereits an einer Lösung arbeiten, die die entsprechenden Apple IDs sperren, sobald fünf Mal hintereinander ein falsches Passwort eingegeben wurde. Dann muss das Passwort zurückgesetzt werden. Ein Statement liegt bislang noch nicht vor.

UPDATE: Apple hat nun reagiert:

We take user privacy very seriously and are actively investigating this report

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

 
 
Aaron Baumgärtner
twitter Google app.net mail

16 Kommentare zu dem Artikel "iCloud-Leck: Apple entfernt den wunden Punkt [UPDATE]"

  1. Martin4s 1. September 2014 um 15:02 Uhr ·
    So eine Zeitsperre müsste schon von anfang an geben.. Aber Apple wirds schon hinbekommen:)
    iLike 23
    • Detlef Wittenborn 1. September 2014 um 15:09 Uhr ·
      Bei mir haben sie schon die Kreditkarte geknackt. Find ich nicht so toll.
      iLike 12
      • Andy. 2 1. September 2014 um 18:53 Uhr ·
        Ja genau diesrs Problem hatte ich auch, schon ein Jahr her, aber eine Person kamm an Bilder von meinem iPhone, ich dan aber auch an seine Kontakte, leider hat Apple bis jetzt sich nicht mehr gemeldet wegen diesem Vorfall, das finde ich ein wenig daneben, ich kann aber alles mit Screenshots belegen
        iLike 1
  2. Calle 1. September 2014 um 15:06 Uhr ·
    Also da hat sich apple einen ziemlich groben Schnitzer erlaubt .. diese Art von „Sicherheit“ ist doch schon seit Jahren überall im Einsatz.. selbst am iPhone gibt es diese Zeitsperre.. Da haben sie Mist gebaut ..
    iLike 21
  3. Thorsten 1. September 2014 um 15:09 Uhr ·
    Das betrifft dich dann wieder User mit den üblichen Passwörtern wie Sommer2014, Liebling, Bello usw
    iLike 12
    • Jameson 1. September 2014 um 15:15 Uhr ·
      Jo so denken die Leute. Passwort „12345“ und dann den Anbieter verantwortlich machen wenn was passiert.
      iLike 16
      • Carsten 1. September 2014 um 20:01 Uhr ·
        Trotzdem muss spätestens nach 10 Fehlversuchen Schluss sein.
        iLike 8
    • Zero-Day 1. September 2014 um 23:04 Uhr ·
      Die Passwörter müssen von Apple aber auch ordentlich gesalted werden.. So könnte man diese primitiven Brute Force Attacken unterbinden.. Wenn ich das so richtig sehe.
      iLike 1
      • Sebastian 2. September 2014 um 09:49 Uhr ·
        Salt hat doch nur was mit dem Hashwert in der Datenbank zu tun. Brutforce testet ja die Klartextpasswörter.
        iLike 0
      • Zero-Day 2. September 2014 um 10:34 Uhr ·
        Stimmt, danke für die „Aufklärung“, hatte nen Denkfehler ^^
        iLike 0
  4. Daniel 1. September 2014 um 20:13 Uhr ·
    Ich sehe hier die Schuld ganz klar bei Apple. Dieses Sicherheitsleck hätte es nicht geben dürfen. Und wie andere schon geschrieben haben, nach einer bestimmten Anzahl an Fehlversuchen muss Schluss sein. Schade, dass erst so etwas passieren muss bevor Apple so eine Lücke schließt. Ob ein einfaches oder ein kompliziertes Passwort ist mittlerweile egal. Ein einfaches Passwort ist nach 2-3 Sekunden geknackt, ein kompliziertes Passwort zu knacken welches abstrakt ist und 12-14 Stellen hat dauert in der Regel nur noch ein bis zwei Stunden. Hier hat Apple einfach gepennt. Punkt! Ich erwarte von einer Firma viel Apple, dass wenn ein Dienst angeboten wird ich Ihnen auch vollumfänglich nutzen kann, ohne mir Sorgen über meine Daten machen zu müssen. Noch besorgniserregender finde ich, dass sogar Bilder wiederhergestellt wurden, die angeblich schon gelöscht waren. Und das vor langer Zeit sogar schon.
    iLike 10
    • Steve 1. September 2014 um 20:24 Uhr ·
      Das mit den gelöschten Bildern macht mir viel mehr sorgen als der Bruteforce. Bei letzterem kommt eine Sperre nach 3-10 Versuchen und gut ist. Da wird Apple nachbessern schnell. Aber das bei der Aktion bekannt wurde, dass gelöschte Bilder weiter wieder hergestellt, oder gar irgendwo noch gespeichert bleiben, ist meiner Meinung nach hier das viel interessantere und ungleich größere Problem, dem man schnellstens nachgehen sollte, und auch öffentlich einmal zur getrennten Diskussion stellen sollte.
      iLike 4
      • Zero-Day 1. September 2014 um 23:06 Uhr ·
        Wenn man bei Apple mit einer einfachen Brute Force Attake rein kommt dann brauch man sich auch keine Gedanken mehr darüber machen ob die NSA an die privaten Daten kommt… Schade
        iLike 5
      • Steve 2. September 2014 um 10:17 Uhr ·
        Darüber, ob die NSA an deine Daten kommt, brauchst du dir den Kopf ohnehin nicht zerbrechen. Sie kommt an alle ran. Punkt. Dazu bedarf es keiner Sicherheitslücke, da die IT-Untenehmen in den USA per Gesetz dazu verpflichtet sind sowohl teilweise Schnittstellen für die Behörden einzurichten, oder auf Anfrage einfach entsprechende Daten herauszugeben. In den AGB der meisten Unternehmen findest du darauf sogar den Hinweis, und erklärst dich mit Zustimmung zu den Nutzungsbedingungen, oder per Nutzung der Dienste, damit einverstanden. Im Übrigen überwacht die NSA den gesamten Inlandsverkehr, sowie alles was von außerhalb kommt, und zeichnet (speichert) diesen global auf. Alles. Von Telefongesprächen über email bis zu jedem anderen Datentraffic. Dafür hat Sie ein eigens aufgebautes Rechenzentrum, und ehemalige NSA-Mitarbeiter haben dies bereits öffentlich bestätigt. Es gibt keinen Schutz von Daten mehr in den USA. So einfach ist das. :)
        iLike 0
  5. Apple_Terminator 2. September 2014 um 01:58 Uhr ·
    Ja, ja, die wundervolle sichere Welt von Apple ist schon klasse.
    iLike 1
  6. Heinz 2. September 2014 um 08:39 Uhr ·
    Das heißt ich kann den Apple Account von meinem Nachbarn sperren lassen und Ihn damit ärgern? Prima.
    iLike 0

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.