Apple äußert sich zum vermeintlichen iCloud Hack

Wir alle haben es mitbekommen: Nacktbilder diverser Prominenter (unter anderem Jennifer Lawrence, Emily Browning und Victoria Justice) gingen durch das Netz. Erst machte die Nachricht die Runde, dass ein iCloud Hack Schuld daran sein sollte. Apple versprach Ermittlungen in dieser Sache und äußerte sich nun. Ein genereller Hack der iCloud oder des Dienstes Find my iPhone war nicht das Problem, stattdessen haben die Angreifer zielgerichtet Konten von Prominenten angegriffen.

Google Play Music iPhone

Hierbei probierten die Angreifer anscheinend automatisiert Nutzernamen, Passwörter und Sicherheitsfragen aus. Was aus dem Statement nicht hervorgeht: wurde mittels Brute Force und automatisierten Angriffen gearbeitet? Und wenn dies der Fall gewesen ist: warum gibt es keinen Schutz gegen diese Art der Angriffe? Fest steht, die Negativpresse wird Apple sicherlich im Nacken sitzen, egal wie der Angriff ablief.

Theoretisch müsste man in heutigen Zeiten fast zwingend fordern, dass die Zwei-Faktor-Authentifizierung zur Pflicht wird. Mittlerweile bieten viele Anbieter diesen zusätzlichen Schutz an. Und auch wir dürfen uns hinterfragen, wie viel denn in die Cloud gehört. Fast alle Systeme bieten mittlerweile das automatische Backup von Fotos und anderen Daten an. Ein interessantes Ziel für Angreifer, da die Cloud rund um die Uhr erreichbar ist. Wie ihr die wichtigsten Dienste mit der Zwei-Faktor-Authentifizierung absichert, beschreibt dieser Beitrag – und ja, Apple bietet dies mittlerweile teilweise auch an, leider ohne Geräte-Auth.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

37 Kommentare

  1. Der erste Link funktioniert nicht so ganz. 😉

    Ansonsten – es fehlt einfach ein Verständnis für die groben, technischen Zusammenhänge in der westlichen Hemisphäre. Aber das wird sich mit der zunehmenden Zahl der Leaks und Hacks sicherlich von selbst regeln, da bin ich zuversichtlich. 😉

  2. Ist es wirklich nötig die Namen der Opfer zu nennen?

  3. @Cashy, warum schreibst du „teilweise“ zu der Zwei-Faktor-Authentifizierung mit Bezug zu Apple?
    Stimmt so nicht, meines Wissens.

  4. Denke auch mal das es „recht einfach“ Infos für die Sicherheitsfragen über google und facebook zufinden. Besonders bei Leuten die so viele Informationen über sich in Interviews preisgeben.

    Gab es sowas nicht schon mal, also das jemand die Sicherheitsabfragen ausgenutzt haben um an Promidaten zukommen?

  5. Naja , simpel : verdopple nach jedem Fehlversuch die Wartezeit, und Schluss ist….. Das ist soooo einfach, da will ich gar nicht wissen was für Probleme Apple bei komplexen Dingen hat!!!!!

  6. Die meisten Menschen sind halt überheblich und gutgläubig und geben ihre Daten in Systeme, von denen sie keine Ahnung haben, da kommt sowas dann halt (leider) bei raus.

    Grad bei diesen Promis frag ich mich allerdings schon, wie bescheuert man sein kann? Wenn einem sowieso die Papparazzi dauernd die Linse ins Gesicht halten, warum dann noch freiwillig Material aus der Hand geben, was man nicht öffentlich sehen möchte? Vielleicht sollten die Leute mal ihre Geldbörse umdrehen und schauen, ob nach den ganzen Gehältern für Bodyguards, PR-Berater, Privat-Frisöre, Chauffeure, etc vielleicht noch ein bisschen Geld für einen IT-Mensch mit Kompetenz übrig ist?

    Sorry, aber Mitleid hab ich da nicht, erst recht nicht mit SJWs wie Patricia Arquette, twittert die doch echt, dass alle, die sich die Bilder anschauen, im Prinzip eine Massenvergewaltigung machen – na danke, der würd ich wünschen, dass ihr mal ein Opfer von echter, physischer Vergewaltigung vor die Füße läuft.

  7. Natürlich versucht sich die Apple-PR nun um Schadensbegrenzung. Aber anscheinend ließen sich die iCloud-Accounts ja über ein simples Brute-Force-Script hacken. Es ist einfach dilettantisch, dass Apple anscheinend keinen Schutzmechnanismus hat, um bei mehreren Fehl-Logins den Account zu sperren.

  8. Wenn man automatisiert unendlich viele Passwörter aufprobieren kann, ist das wohl eine Sicherheitslücke. Auch wenn die iCloud an sich nicht unsicher ist, kann man hier wohl von Schönfärberei seitens Apple sprechen.
    Man kann nur hoffen dass nicht weitere solcher Fehler im System existieren, bzw als Promi sollte man das hoffen.
    Aus „Recherchezwecken“ habe ich mir die Fotos und Videos angeguckt.. schon teilweise verdammt peinlich, was da nun öffentlich ist, besonders für Kaley Cuoco.

  9. Eine 2 Faktor Authentifizierung wäre aber zumindest bei find-My-iPhone absurd. Wenn ich mein iPhone verloren habe oder es geklaut wird, kann ich schließlich nicht über mein iPhone bestätigen das ich da am pc sitze.

    Die Alternative, ein anderes Passwort zu wählen ist für einen so selten, aber dennoch sofort verfügbar sein müssenden Dienst auch ohne Sinn.

    Wenn also diese eine Tür offen steht, ist diese 2 Wege Möglichkeit an anderer Stelle nicht die goldene Lösung zu der sie zur zeit gemacht wird.

    Ein sicheres Passwort und überall Brutforce Schutz schön und gut, ich glaube aber nicht dass das diese leakserie verhindert hätte.

    Letztlich ist es einfach Pech das vorkommt wenn man etwas nicht 100% sichern kann. Muss man akzeptieren.

  10. @plantoschka die namen sind in allen blogs genannt und bekannt. Wer googlet findet es eh raus. Und die Bilder bleiben auf bekannten XXX Bilder Seiten eh im Netz…

  11. Man kann ganz schön naiv sein.
    Ich würde niemals auf die Idee kommen Nacktbilder mit irgend einem Server auf dieser Welt zu synchronisierern ganz besonders dann nicht wenn ich Promi bin.

  12. @Ich:

    Deswegen hast du ja noch dein Kennwort und den Wiederherstellungsschlüssel! 😉

    Bei der 2 Faktor Authentifizierung hast du:

    – Kennwort
    – Wiederherstellungsschlüssel
    – Gerät

    2 von diesen Dingen brauchst du, um dich zu identifizieren!

  13. @Ich:

    Bei Google glbt es beispielsweise Backup-Codes (10 Stück), die man sich generieren lassen kann und dann bspw. ausdrucken kann.

    Ist das Smartphone nicht zur Hand oder geklaut oder verloren, nutzt man neben dem Passwort einen der 10 Backup-Codes. Damit ist das ganze einigermaßen Idiotensicher – und auch generell einigermaßen sicher, da man immer 2 Ideentifikationsfaktoren braucht (Passwort+Gerät oder Passwort+Backup-Code)

  14. @Mirco:
    Glaube ich kaum dass Apple das wie Google mit Wiederherstellungscodes machen wird… bei Papier stimmt die Ästhetik einfach nicht mehr.
    Ein simples Begrenzen der Versuche wie bei der guten alten EC-Karte würde schon Wunder bewirken.
    Alternativ wie beim Lockscreen vom iPhone, Sperre für 1min nach 5 Versuchen und dann bei wiederholten falschen Versuchen die Wartezeit erhöhen.

  15. Vor 0815-Bruteforce schützt auch der zusätzliche Faktor nicht. Wenn ich ohnehin schon ohne jegliches Vorwissen Angriffe fahre, kann ich auch noch ’ne zweites Feld ausfüllen.
    Hier ist eher Apple in der Pflicht, (erfolgreiche) Bruteforce-Angriffe auf Loginmasken gehören eigentlich schon längst der Vergangenheit an.

    @caschy
    So langsam kann ich die Lobeshymnen auf Mehrfaktor-Authentifizierungsmethoden, die neuerdings überall gesungen werden, nicht mehr hören. Ja, es gibt Angriffsszenarien die durch den zusätzlichen Faktor unrentabel werden. Vor den gängigen ungezielten Angriffen schützt der zusätzliche Faktor allerdings kaum.
    ((Bei Datenbankdiebstählen geht’s um Zahlungsdaten, eMail-Adressen und Kontaktdaten. Passwörter sind ein recht nutzloses Nebenprodukt, ordentliches Salzen macht ungezielte Wörterbuchangriffe unrentabel. Wenn derjenige dem man die Datenbank geklaut hat nicht richtig salzen kann oder mit Algorithmen aus der Steinzeit hasht, dürften die anderen Faktoren auch nicht sonderlich sicherer aufgebaut sein.))
    Klar, mehr Faktoren schaden üblicherweise nicht, aber das Allheilmittel, für das sie vielfach gehalten werden, sind sie auch nicht.

  16. RasPI Nutzer says:

    Was ist denn „Negativpresse“?

    Ich kenne nur die „Presse“ und ich kenne Fans irgendwelcher Marken, die sich treudoof vor den Marketingkarren großer Konzerne spannen lassen, ohne es zu merken. Apple hat im Thema „Sicherheit“ enormen Nachholbedarf, man darf das Kind ruhig beim Namen nennen.

    Bin ich jetzt auch „Negativpresse“?

  17. @shx: Dann beschreibe hier, ob der Hack möglich gewesen wäre, hätte Apple eine Gerät- und iCloud-schützende 2FA. Danke.

    Und ehrlich? Mir isses lachs, ob jmd. nicht mehr hören kann, dass man Sicherheit nach oben schrauben soll. Deswegen werde ich das hier weiter propagieren.

  18. Das frage ich mich auch. Aber da liefern auch andere Hersteller leider keine Glanzleistung ab. Bei Google kann man z.B. auch munter so viele falsche Passwörter eingeben wie man will. Sinnvoll wäre nach einer gewissen Anzahl an Fehlversuchen (gerne auch manuell definierbar) eine gewisse Wartezeit zwischen den weiteren Versuchen.

  19. @caschy
    Stimmt es, dass Apples 2FA nur folgende drei Bereiche schützt?
    – Manage your AppleID
    – Einkäufe
    – Supportanfragen
    Und demzufolge auf icloud.com auch ohne 2FA zugegriffen werden kann?
    Kann das aus Mangel an Geräten noch nachprüfen.

  20. @Hans: ja, deswegen schränkte ich das im Beitrag mit Verweis auch ein. Und das ist echt schwach.

  21. @shx
    Erkläre mir unwissendem bitte mal, was gesalzene Passwörter bei Wörterbuchattacken gegen den Webdienst bringen sollen.

    Ein schwaches Passwort wird durch Salz nur unwesentlich sicherer. Klaut man Hashes, Loginnamen und Salz aus einer Datenbank, wird es ziemlich aufwendig, „sichere Passwörter“ auszuwürfeln. Außerdem muss man Verfahren und Rundenzahl kennen, tatsächlich wird ein Angriff unrentabel. Anders sieht es bei Passwörtern aus, die man im Wörterbuch findet. „Password“ oder „Security“ hat man dann immer noch in ein paar Minuten durchprobiert, wenn die Webseite des Anbieters es zulässt. In diesem Fall wäre also ein Schutz des Webservice angebracht gewesen, der das Durchprobieren der Passwörter verhindert, eine Passwortpolicy kann auch nie schaden.

    Zweifaktor-Authentifizierung ist da schon deutlich schwieriger zu hacken, wenn man keinen Zugriff auf den zweiten Faktor hat, also beispielsweise das Telefon des betroffenen.

    Ich persönlich finde das für die meisten Dinge zwar vollkommen übertrieben, wer aber möchte Onlinebanking ohne zweiten Faktor machen? Stellt man sich vor, dass man mit seiner „sicheren“ PIN der Bank Geld überweisen könnte, ohne TAN / mTAN, Kartenlesegerät, wäre schon abgefahren. Für den Clound-Daten-Speicher empfinde ich also einen zweiten Faktor auch als das Mindeste.

    Dazu liegen meine Daten dort selbstverständlich verschlüsselt. Aber das ist dann wirklich für 90% der Bevölkerung und 99% der betroffenen zu viel verlangt.

  22. @saujung: Salt verhindert, dass schwache Passwörter daran erkannt werden können, dass sich die Hashes wiederholen (in einer entwendeten Datenbank). Ohne Salt muss man zudem diese Passwörter nur einmal knacken und kann vergleichsweise kleine vorberechnete hashlisten verwenden, um einen großteil der schwachen Passwörter zu knacken. Diese Effekte treffen aber eben nur bei Angriffen gegen eine entwendete Passwortdatenbank mit Hashes zu, nicht bei einem Angriff gegen die Login-Maske des Webdienstes… Dort helfen nur steigende Wartezeiten nach Fehlversuchen.

    Vor allem aber sollten Sicherheitsfragen abgeschafft werden. Passwortrücksetzung per Email ist sinnvoller. Wenn der Extremfall eintritt, dass man den Zugriff auf das Email-Postfach verliert, ggf. per Telefonnummer. Wenn alles fehlschlägt, Identifizierung durch amtliche Dokumente (wäre gerade mit Apple-Stores leicht machbar). Aber nicht mit Sicherheitsfragen, die ein Musterbeispiel von schwachem Passwort darstellen.

  23. Was sollen längere Wartezeiten zwischen falschen Passwortangaben allein denn bringen? Es ist ja nicht so als ob da ein versiffter Kerl im Kapuzenpulli im Keller neben einem Stapel Pizzakartons und Coladosen hockt und händisch ein Passwort nach dem anderen eintippt. Da laufen Scripte, denen es völlig egal ist ob sie es alle 10 Sekunden oder alle 10 Minuten probieren können. Klar, es dauert länger, aber ohne die entsprechende Info an den Besitzer der Daten oder einen Admin des entsprechenden Clouddienstes nutzt auch das wenig.

    Und wenn es ganu dumm läuft haut der 3. Versuch schon hin, dann hat sich das eh erübrigt. Und wenn ich sehe, was für Passwörter die Leute oft verwenden, ist ein ähnliches Szenario wahrscheinlich gar nicht so unabwegig. Ich hatte neulich erst wieder eine Fritzbox da, deren WLAN mit dem Passwort 12345678 „gesichert“ war. Da fällt Dir echt nichts mehr ein!

  24. shx meinte doch nur, dass wenn man sowieso brute force macht und unendliche viele Versuche frei hat, man das ganze dann auch auf den zweiten Faktor/Code/Passwort anwenden kann.
    Wenn die Anzahl der Versuche begrenzt ist, braucht man den zweiten Faktor nicht mehr zum Schutz vor brute force.
    Der zweite Faktor hilft vor Allem dann, wenn die Login Daten irgendwo geklaut wurden und das Passwort dem Angreifer bekannt ist, denn dann wird ein weiterer Code nötig, der den geklauten Daten nicht beiliegt.

    @caschy brute force aufs Passwort, anschließend brute force auf den auth. Code. Vorrausgesetzt man hat jeweils keine Begrenzung, was ja hier zumindest teilweise der Fall zu sein scheint.
    Aber hier werden ja leider berechtigte Einwände oft mit überheblichen Antworten gestraft. Schade

  25. Der wired-Artikel erklärt ganz gut wie es (vermutlich) lief, nämlich sehr einfach: http://www.wired.com/2014/09/eppb-icloud
    Das man das PW per BruteForce knacken könnte, ist dämlich gewesen… aber vielmehr noch, dass sie es 2014 immer noch nicht auf die Reihe bekommen eine Mail zu verschicken, wenn ein bisher unbekanntes Gerät sich erstmalig mit was-auch-immer verbindet.
    Aber mit der ganzen schlechten PR bekommen sie es vermutlich jetzt recht flott hin!

  26. Zwei-Faktor-Authorisierung ist zwar schön und gut. Allerdings unterstützen manche Geräte wie mein Sony Smart-TV das nicht.

  27. @Yu
    Du hast vollkommen Recht: Entwendet man ungesalzene Hashes, erkennt man bekannte Passwörter, oder kann sie recht schnell herausfinden. Für Wörtbuchatacken bringt das aber nichts, wenn sie gegen einen Webdienst laufen, denn da validiert mir ja der Webservice (die Eingabemaske im primitivsten Fall) das Passwort. Und in diesem Fall helfen: Wiederholungs-Schutz, Zweifaktor, schwieriges Passwort, dass nicht im Wörterbuch steht und via Brutefoce nicht in „endlicher“ Zeit errechnet wird und, sinnfreie Antwort auf „Sicherheitsfrage“. Es hindert mich ja niemand daran, auf die Frage „Wie heißt dein erstes Kuscheltier?“ „ä?$2,mdsö#1°^2“ zu antworten. Niemand, doch, gelegentlich sind natürlich nur Buchstaben erlaubt. 🙂

    Was bleibt: Apple ist ein Sauladen und hat die Angriffe ermöglicht. Die Anwender haben keinen Schimmer von Sicherheit, und so lange nicht auf Seiten der Anbieter und der Kunden ein gewisses Maß an Sensibilität erzeugt wird, wird es wieder passieren. In den USA könnte ich mir aber vorstellen, dass am Ende Apple ein paar Millionen / Milliarden Dollar Entschädigung zahlen muss, und eventuell sogar auf die Idee kommt, sich in Zukunft ein wenig mehr Sorgen zu machen!

  28. @Tim: Bei dem zweiten Faktor wird, aber entweder vom Dienst per SMS oder per App ein kurz gültiger Code generiert. Wenn man zB. SMS aktiviert hat, sollte es dir schon komisch vorkommen, wenn plötzlich der Code angefordert wird.

  29. Ja klar, ich benutze das auch und finde es gut.
    Wollte nur shx Standpunkt mal unterstützen, da er meiner Meinung nach einen berechtigten (wenn auch erstmal theoretischen) Einwand gebracht hat und dafür hier abgewatscht wurde.

    Und natürlich, der erste Schritt sollte immer erstmal ein gutes Passwort sein.

  30. Weil hier einige spekulieren (weil Caschy spekuliert ohne mal kurz zu recherchieren): icloud.com kann man nicht über http per brute-force attackieren. Es dauert nicht lange und die Apple ID wird gesperrt.

    Die Find my iPhone API war bis vor 2 Tagen per brute-force angreifbar. Aber denkt mal nach wie lange es dauern würde, hundert Accounts über das Netzwerk anzugreifen.

    Apple’s Passwort-Richtlinien: „Ihr Kennwort muss aus mindestens 8 Zeichen bestehen, darf nicht mehr als 3 identische Zeichen hintereinander aufweisen und muss eine Zahl, einen Groß- sowie einen Kleinbuchstaben enthalten.“

    Macht 218.340.105.584.896 mögliche Kombinationen, dabei ist die zweite Bedingung (3 identische Zeichen) nicht mal mit einkalkuliert. Über’s Netzwerk lassen sich vielleicht 1000 Anfragen pro Minute realisieren.

    Das mal vorausgesetzt muss jeder dieser 100 Celebrities Passwörter benutzt haben, die einem Wörterbuchangriff nicht standhalten. Also zBsp Password1, Passw0rd und so…

    @Caschy
    Du liegst nicht ganz richtig bzgl. iCloud und 2FA. Die ist in den USA schon ausgerollt und kommt hoffentlich bald nach Deutschland.

  31. @caschy

    Informiere dich endlich zur 2FA bei Apple. Deine Infos sind falsch!
    Auch der Zugriff auf iCloud ist geschützt…und seit der Nummer mit den Bildern ist das Loch zu „Find my iPhone“ auch dicht.

  32. @Kalle es wurde ein rainbowtable genutzt. Da sind so Sachen wie 12345678 und babygirl drinne…

  33. @Freddie
    Auf icloud.com wurde 2FA nocht nicht weltweit ausgerollt.

    @Leon
    Sorry, aber das macht keinen Sinn. Sieh mal nach was Rainbow Tables sind. Wie wäre denn der Angriffsvektor? Man müsste bei den Servern einbrechen, Gigabytes an richtigen Daten anwenden, und unbemerkt wieder entkommen. Vorausgesetzt Rainbow Tables werden auf iCloud eingesetzt.

  34. @Leon
    Passwörter wie von dir genannt sind für Apple IDs nicht möglich, siehe Link in meinem Kommentar oben.

  35. Zwecks informieren:

    „Apple hatte die Passwort-Vorgaben für seinen Cloud-Dienst in letzter Zeit strikter gemacht, unter anderem wohl um diese Art Angriffe zu erschweren. Nutzer die ihre iCloud schon länger in Betrieb haben,

    können aber noch ältere Passwörter verwenden.

    Da diese Passwörter nicht mit den selben strengen Vorgaben erstellt wurden, sind sie unter Umständen leichter zu knacken.“

    “ …die Zwei-Faktor-Authentifizierung zu aktivieren – diese schützt allerdings nur in sehr spezifischen Fällen, beispielsweise wenn ein Angreifer versucht, das Passwort zurückzusetzen oder Einstellungen in der Apple-ID-Verwaltung zu ändern. “

    „Der Download von iCloud-Backups ist nicht durch die Zwei-Faktor-Authentifizierung geschützt.“

  36. Schonmal daran gedacht, dass es auch ein Keylogger gewesen sein könnte auf den Computern der Prominenten? Brut-Force ist nur eine Vermutung, keine Bestätigung.

    Ausserdem muss man beim Apple Account ein 8-stelliges PW mit Zahlen und Gross- und Kleinschreibung wählen.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.