Skip to content

Apple stopft Sicherheitslücke in iCloud nach Promi-Skandal

Geschrieben von Florian Schimanke am

Die meisten dürften es aus der Boulevardpresse bereits erfahren (und der eine oder andere wohl auch schon danach gegoogelt) haben. In der vergangenen Nacht überschwemmte quasi eine Unmenge von Nacktfotos mehr oder weniger Prominenter das Internet. Die Hacker, die die Bilder aus den privaten Fotoarchiven der Promis entwendet haben wollen, gaben bekannt, dass dies durch eine Sicherheitslücke in iCloud möglich gewesen sei. Übertriebene Panik ist an dieser Stelle jedoch nicht angebracht. Erstens ist aktuell nach wie vor nicht geklärt, ob die Bilder tatsächlich aus iCloud-Konten stammen und zweitens wurde hier, wenn iCloud tatsächlich betroffen sein sollte, keine generelle Sicherheitslücke ausgenutzt. Stattdessen könnte es sich offenbar um einen Brute-Force-Angriff auf die Online-Konten verschiedener Prominenter gehandelt haben. Bei diesen Angriffen werden wahllos irgendwelche Kombinationen aus E-Mail Adressen und Passwörtern ausprobiert, in der Hoffnung, irgendwann einen Treffer zu landen.


Allerdings scheint Apple hier durchaus angreifbar gewesen zu sein. Ein Tool namens "iBrute" verbreitete sich in den vergangenen Tagen im Netz, welches über Apples "Find my iPhone" einen solchen Brute-Force-Angriff versuchte. Problematisch dabei war, dass Apple hier nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen keine automatische Deaktivierung des Accounts implementiert hatte. Ob nun ausgelöst durch den Promi-Skandal oder anderweitige Tipps, hat Apple inzwischen jedoch reagiert und sperrt die jeweilige Apple-ID nach fünf fehlgeschlagenen Versuchen bis sie durch anderweitige Authetifizierungsmaßnahmen wieder authentifiziert werden. Eine offizielle Stellungnahme von Apple zu dem Thema gibt es bislang allerdings nicht.

Auch an dieser Stelle sei erneut darauf hingewiesen, dass Online-Konten mit sicheren Passwörtern geschützt sein sollten. Dies ist die beste Verteidigung gegen Brute-Force-Attacken. Passwörter sollten daher aus mindestens 10 Zeichen bestehen, die sich wiederum aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen zusammensetzen und keine regulären Begriffe enthalten!

Trackbacks

Flo's Weblog | Apple News and more... am : Apple äußert sich zu Promi-Nackfoto-Skandal

Vorschau anzeigen
Der gestern bekannt gewordene Angriff auf die privaten Foto-Accounts von Prominenten, inkl. diverser inzwischen im Internet veröffentlicher Nacktfotos zieht weitere Kreise. Angeblich sollen die Fotos aus den iCloud-Accounts der betroffenen Promis stammen,

Flo's Weblog | Apple News and more... am : Promi-Nacktfoto-Skandal: Laut Apple keine Sicherheitslücke in iCloud-Diensten

Vorschau anzeigen
Die gestern im Internet veröffentlichten Nacktbilder von verschiedenen Hollywood-Prominenten kamen für Apple zu einer äußerst ungünstigen Zeit. Schließlich sollen sie angeblich aus den iCloud-Accounts der Betroffenen entwendet worden sein, was die Sicherh

Flo's Weblog | Apple News and more... am : Promi-Nacktfoto-Skandal: Apple kündigt ausgeweitete Sicherheitsmaßnahmen an

Vorschau anzeigen
Der Skandal um die unter anderem aus iCloud abgegriffenen Nacktbilder von Prominenten unter der Woche hat zumindest nachträglich offenbar noch einen einigermaßen positiven Effekt. In einem Interview mit dem Wall Street Journal gab Apple CEO Tim Cook bekan

Flo's Weblog | Apple News and more... am : Apple startet erste Welle von Sicherheitsmaßnahmen bei iCloud

Vorschau anzeigen
Die aus iCloud-Accounts abgegriffenen privaten Bilder diverser Prominenter bestimmten in der vergangenen Woche weite Teile der Boulevardpresse und der einschlägigen Apple-Newsseiten. Zwar war Apple redlich bemüht, die Schuld von sich zu weisen und stattde

Flo's Weblog | Apple News and more... am : Jahresrückblick 2014: Juli - September

Vorschau anzeigen
Wie aus den letzten Jahren gewohnt, gibt es auch in 2014 wieder einen kleinen Rückblick auf die hinter uns liegenden 12 Apple-Monate zwischen den Feiertagen. Somit verbleibt die Zeit auch ohne spannende Meldungen nicht ganz Apple-frei. Auch das Jahr 2014

Flo's Weblog | Apple News and more... am : SplashData kürt die schlechtesten Passwörter des Jahres 2014

Vorschau anzeigen
Wir schreiben das Jahr 2015 und meine Erschütterung nimmt jedes Jahr mehr zu, wenn die Sicherheitsspezialisten von SplashData ihre Auflistung der schlechtesten Passwörter des Jahres veröffentlichen. Dabei führen die Kollegen Statistiken darüber, welche Pa

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Unilife am :

Bei Brad Pitt lautet das Passwort Angelina ;)

Anonym am :

12345 hat noch keiner je geknackt.

Tobi am :

Ich find das ziemlich peinlich. So eine einfache Funktion wie "jeden Tag maximal fünf Versuche" würde das alles sofort verhindern. Wie schwer ist es denn, so etwas obligatorisch für jede Passwort-Eingabe zu implementieren?

Herri am :

Genau das hab ich mir auch gedacht. Was wohl die sicherheitsleute der kreditkartenfirmen in sachen nfc davon halten. Ziemlich schlechtes timing apple.

thomas am :

Ich lese da keine täglichen 5 Versuche heraus....
"....und sperrt die jeweilige Apple-ID nach fünf fehlgeschlagenen Versuchen bis sie durch anderweitige Authentifizierungsmaßnahmen wieder authentifiziert werden..."

Tobi am :

Oh Mann, also nochmal schöner erklärt: Wenn man bei Apple keine Lust oder Zeit gehabt hätte, ein "sauberes" Protokoll mit der Reaktivierung über Telefon zu implementieren, hätte selbst der depperste Entwickler so eine Funktion im Alleingang implementieren können. Ohne Mehrkosten für Service Personal am Telefon. Sozusagen als "Last Resort". Genauso wie man auch bei nicht zu erwartenden Fehlern trotzdem ins Log schreiben lässt "this should never happen".

Meinetwegen auch hundert Versuche am Tag! Nimm irgendeine abstruse Zahl an Versuchen am Tag und nichts wäre passiert! Lieber hat man ein dutzend stinkige Kunden in der Leitung, die tatsächlich drei Stunden damit verbracht haben ihr Passwort hundertmal falsch per iPhone Tastatur einzugeben, und jetzt beim 101sten Versuch abgeblockt werden.

Tobi am :

Heartbleed war wenigstens n echter Bug. aber das hier sollte doch im Kurs "Online Security 101" gecovert werden. Steht bestimmt auch in diesem gelben Buch "Sicherheitstechnologien für Dummies".

Chris Isaak am :

Wenn sie jetzt nach 5 Versuchen den Account blocken und dieser nur durch eine anderweitige Authentifizierung wieder freischaltbar ist, dann hoffe ich nur, dass alle Nutzer eine solche 'andere Authentifizierung' haben. Wenn ich das richtig in Erinnerung habe, dann ist doch eine zusätzliche Emailadresse oder die Authentifizierung in zwei Schritten optional, also nicht von jedem eingerichtet? Ach so, da gab es ja noch die Sicherheitsfragen, verstehe.

Carl am :

Es wird schon Gründe dafür gegeben haben, wieso Apple im ersten Anlauf nicht eine andere Variante gewählt hat.

Abgesehen davon sind ausgedachte Passwörter grundsätzlich nicht sicher, auch nicht, wenn sie deiner Empfehlung folgen, Flo. Nur zufallsgenerierte oder auf dafür vorgesehenen Algorithmen basierende Passwörter gelten als sicher - da spielt auch die Länge eine untergeordnete Rolle. Ich empfehle jedem, eine App wie 'Master Password' oder KeePass zu verwenden. (s. auch c't 18/2014 S. 82ff)

iDONTLIKEGOOGLE am :

Ein Vorschlag zur Terminologie:
"geyahoot" anstatt "gegoogelt""

Das klingt zwar ziemlich bekloppt, aber ich finde man sollte sich an allen Fronten gegen Google wehren :))

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen