Apple mit schwerer Sicherheitslücke: Passwort der Apple ID ließ sich mit Email und Geburtsdatum zurücksetzen
Gerade ein mal seit wenigen Tagen, bietet Apple endlich in ausgewählten Ländern die sicherere 2-Faktor-Authentifizierung an, schon wird eine schwere Sicherheitslücke bei der Apple ID entdeckt.
Wenn man ein fremdes Passwort auf der passenden Apple Webseite zurücksetzen wollte, genügten lediglich die Daten zu Passwort und Email-Adresse. Über eine modifizierte URL konnten dann alle weiteren Sicherheitsabfragen übersprungen werden und man hatte binnen weniger Minuten Zugriff auf iTunes oder den App Store.
Es gibt bereits fertige Anleitungen, die ich hier nicht weiter verlinke. Die Schritte sind aber für jeden technisch versierten Nutzer in wenigen Minuten durchführbar. Inzwischen hat Apple die Passwort zurücksetzen Funktion deaktiviert, damit die Lücke nicht weiter ausgenutzt wird. Ein entsprechender Fix dürfte wohl sehr bald erscheinen.
Nutzer der 2-Faktor-Authentifizierung waren von der Lücke nicht betroffen. Ein offizielles Statement von Apple steht bislang noch aus.
Wird geladen ...
Reaktion Seitens Apple http://www.itopnews.de/2013/03/apple-id-sicherheits-bug-und-reaktion-von-apple/
Die Reaktion steht hier auch!
da zeigt sich dass das konzept der sicherheitsfragen extrem dumm ist. auch wenn apple hier zusätzlich noch vorhersagbare urls benutzt hat. trotzdem ist das konzept der sicherheitsabfragen so scheinlich und vorallem unsicher, dass nun hoffentlich das umdenken einsetzt und jeder anbieter auf diese dummen sicherheitsabfragen verzichtet.
Genau. Ich hasse auch diese Sicherheitsfragen, die zur Rückstellung des Passworts verlangt werden wie bspw. „der Geburtsname meiner Mutter“ oder ähnlich leicht erratbare Daten. Diese Art der Passworterleichterung sind im Grunde Unsicherheitsfragen, Einfallstore für v.a. (auch weitläufig) Bekannte und Verwandte, die mal schnell den Account übernehmen können. Man muss eben nur Bescheid wissen und schon ist man drin. Wann hört diese Diktatur bei der Accounterstellung mal auf?
Ein Passwort bleibt ein Passwort bleibt ein Passwort – und wer es vergißt – selbst schuld. Wer nicht mit Passwörtern umgehen kann, sollte sich besser vom Internet und der Computerei komplett verabschieden. Er ist auch ein Sicherheitsrisiko für andere, weil er fremde Daten wie Kontaktdaten und Bilder fremder Personen auf seinen Geräten gespeichert hat. Leider gibt es heute keine Computerführungserlaubnisprüfung. Das würde zu einer merklichen Entspannung auf den Datenautobahnen führen.
Bei Apple frag ich mich mal wieder: Sicheres System? Oder nur heiße Luft geblubbert? Wenn Apple nochmal richtig punkten will, dann mit einem gänzlich neu geschriebenen System, bspw. iOS2. Und dann Attacke auf Blackberry und die anderen teils ebenfalls veralteten Deriverate wie Android (seit 2008) oder Windows Phone basiert auf Windows NT 6.x (seit 2007).
Nur weiterwursteln, bis auch der Letzte merkt, daß Andere besser sind: Hoffentlich nicht, aber ich befürchte es!