Apple mit schwerer Sicherheitslücke: Passwort der Apple ID ließ sich mit Email und Geburtsdatum zurücksetzen

22. März 2013 Kategorie: Apple, Internet, geschrieben von: Patrick Meyhöfer

Gerade ein mal seit wenigen Tagen, bietet Apple endlich in ausgewählten Ländern die sicherere 2-Faktor-Authentifizierung an, schon wird eine schwere Sicherheitslücke bei der Apple ID entdeckt.

Apple ID Sicherheitslücke

Wenn man ein fremdes Passwort auf der passenden Apple Webseite zurücksetzen wollte, genügten lediglich die Daten zu Passwort und Email-Adresse. Über eine modifizierte URL konnten dann alle weiteren Sicherheitsabfragen übersprungen werden und man hatte binnen weniger Minuten Zugriff auf iTunes oder den App Store.

Es gibt bereits fertige Anleitungen, die ich hier nicht weiter verlinke. Die Schritte sind aber für jeden technisch versierten Nutzer in wenigen Minuten durchführbar. Inzwischen hat Apple die Passwort zurücksetzen Funktion deaktiviert, damit die Lücke nicht weiter ausgenutzt wird. Ein entsprechender Fix dürfte wohl sehr bald erscheinen.

Apple ID Passwort zurücksetzen Wartung

Nutzer der 2-Faktor-Authentifizierung waren von der Lücke nicht betroffen. Ein offizielles Statement von Apple steht bislang noch aus.


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch diese Advertorials an, die wir auf separaten Seiten geschaltet haben: Acer Iconia Tab 8 und HP Cashback Aktion. Danke, jeder Aufruf hilft uns.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Patrick Meyhöfer

#Linux, #Ubuntu, #OpenSource #Android sind meine Themen. Du findest mich auch auf Twitter und Google+. Zudem schreibe ich Beiträge für freiesMagazin und auf meinem Blog Softwareperlen .

Patrick hat bereits 404 Artikel geschrieben.


7 Kommentare

Hacke 23. März 2013 um 07:41 Uhr

Die Reaktion steht hier auch!

sam 23. März 2013 um 08:50 Uhr

da zeigt sich dass das konzept der sicherheitsfragen extrem dumm ist. auch wenn apple hier zusätzlich noch vorhersagbare urls benutzt hat. trotzdem ist das konzept der sicherheitsabfragen so scheinlich und vorallem unsicher, dass nun hoffentlich das umdenken einsetzt und jeder anbieter auf diese dummen sicherheitsabfragen verzichtet.

coriandreas 23. März 2013 um 16:26 Uhr

Genau. Ich hasse auch diese Sicherheitsfragen, die zur Rückstellung des Passworts verlangt werden wie bspw. “der Geburtsname meiner Mutter” oder ähnlich leicht erratbare Daten. Diese Art der Passworterleichterung sind im Grunde Unsicherheitsfragen, Einfallstore für v.a. (auch weitläufig) Bekannte und Verwandte, die mal schnell den Account übernehmen können. Man muss eben nur Bescheid wissen und schon ist man drin. Wann hört diese Diktatur bei der Accounterstellung mal auf?
Ein Passwort bleibt ein Passwort bleibt ein Passwort – und wer es vergißt – selbst schuld. Wer nicht mit Passwörtern umgehen kann, sollte sich besser vom Internet und der Computerei komplett verabschieden. Er ist auch ein Sicherheitsrisiko für andere, weil er fremde Daten wie Kontaktdaten und Bilder fremder Personen auf seinen Geräten gespeichert hat. Leider gibt es heute keine Computerführungserlaubnisprüfung. Das würde zu einer merklichen Entspannung auf den Datenautobahnen führen.

coriandreas 23. März 2013 um 16:58 Uhr

Bei Apple frag ich mich mal wieder: Sicheres System? Oder nur heiße Luft geblubbert? Wenn Apple nochmal richtig punkten will, dann mit einem gänzlich neu geschriebenen System, bspw. iOS2. Und dann Attacke auf Blackberry und die anderen teils ebenfalls veralteten Deriverate wie Android (seit 2008) oder Windows Phone basiert auf Windows NT 6.x (seit 2007).
Nur weiterwursteln, bis auch der Letzte merkt, daß Andere besser sind: Hoffentlich nicht, aber ich befürchte es!


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.