The Fappening: Apple wusste bereits seit März von iCloud-Bruteforce-Lücke

Eine Lücke in iCloud ermöglichte es, per Bruteforce-Attacke in iCloud-Konten einzudringen. Es gab keine Begrenzung der Anmeldeversuche, das Resultat waren hunderte Privatfotos von Berühmtheiten, die in das Internet entlassen wurden. Auch als „The Fappening“ bekannt. Apple reagierte relativ schnell, sicherte iCloud weiter ab, auch durch 2-Faktor-Authentifizierung. Wie sich jetzt herausstellt, wusste Apple bereits seit dem 26. März 2014 von der Lücke.

Apple_iCloud_Brute_01

Ibrahim Balic benachrichtigte Apple mehrfach über die Bruteforce-Möglichkeit in iCloud. Apple nahm diese Mails und Einträge auch wahr, am 6. Mai erhielt Balic eine Rückfrage, ob die Attacke auch schneller durchführbar sei, da es auf diese Weise eine lange Zeit dauert, bis man einen gültigen Auth-Token erlangen würde.

Apple_iCloud_Brute_02

Apple erklärte nach der Veröffentlichung der Fotos, dass es sich nicht um eine generelle Lücke handelt und die Angreifer gezielt auf die Accounts der Stars einwirkten. Gleichzeitig führte man aber neue Schutzmaßnahmen ein.

Apple_iCloud_Brute_03

Ibrahim Balic entdeckte nicht zum ersten Mal eine Lücke bei Apple. Bereits 2013 deckte er eine im Developer Center auf und wurde auch von Apple als Entdecker selbiger genannt. Warum Apple allerdings nicht auf die iCloud-Hinweise reagiert hat, ist schleierhaft. Vermutlich wird sich Apple dazu auch nicht äußern.

Die hier gezeigten E-Mails wurden von DailyDot veröffentlicht, welche diese auch prüfen haben lassen. Man kann also davon ausgehen, dass sie echt sind. Apple hat in letzter Zeit immer häufiger mit Problemen zu kämpfen, sei es in Sachen Sicherheit oder auch fehlerhafte Updates. Während Fehler durchaus etwas Normales sind, ist der Umgang mit ihnen seitens Apple oftmals sehr fragwürdig.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

29 Kommentare

  1. Das Verhalten von Apple in den letzten Jahren hat immer wieder gezeigt, dass ihnen ihr öffentliches Image wichtiger ist als die Sicherheit der User. Schnelle Reaktionen gibt es immer erst dann, wenn der öffentliche Druck zu groß wird.

  2. Oyoyoyoyoyoi, Grob Fahrlässig kann SEHR SEHR teuer werden !!!!

  3. Bitte genau lesen, bevor man es überbewertet: der Apple-Mensch hat das sehr wohl wahrgenommen und nach seiner Einschätzung dauert es unverhältnismäßig lange bis man tatsächlich in einen Account kommt.

    Dies, liebe Leute, gilt grundsätzlich für Sicherheit. Es gibt keine 100%ige Sicherheit. Gerade im Bereich Informationssicherheit geht es darum, dass man nicht mit machbarem oder vertretbarem Aufwand (Zeit, Ressourcen) an die Informationen kommt – nicht darum, dass es absolut unmöglich ist.

    Grob fahrlässig (im rechtlichen Sinne) ist hier also mal gar nichts…

  4. Ähm wieso wird hier sofort suggeriert der Leak lag am „Bug“? Dem ist laut Apple definitiv nicht so. Social Engineering ist um vielfaches schneller als Bruteforce 🙂 Und vor Social Engineering ist kein Dienst geschützt. Das muss der Nutzer selber in die Hand nehmen.

  5. > Während Fehler durchaus etwas Normales sind, ist der Umgang mit ihnen seitens Apple oftmals sehr fragwürdig.

    Wie du jetzt zu der Schlussfolgerung kommst musst du erstmal erklären. Erst recht nachdem Apple den mit dem Sicherheitsforscher in Kontakt war und ihn sogar mehrfach auf dieser Seite erwähnt: http://support.apple.com/kb/HT1318
    Ein Statement von Tim Cook gab’s auch zum Thema.

    @plantoschka
    Das ist jetzt einfach so weil sich Journalisten, Blogger und Leser drauf geeinigt haben, selbst wenn Apple das Gegenteil behauptet. Und du hast Recht, die Sicherheitsfragen sind viel unsicherer.

  6. Apple hat von Sicherheit keine Ahnung.
    Das beweisen sie beim Mac und das beweisen sie beim iPhone.
    Warum sollte es bei anderen Apple Produkten anders sein.
    Warum wundert sich da immer noch jemand drüber?

  7. Natürlich ist das grob fahrlässig! Zumal man durch kombinierte Listen aus Wörterbuch- und Kennwortrichtlinien die mögliche Zahl an Passwörtern schnell dezimieren kann, wenn man dann als großes Unternehmen noch immer zulässt, dass mehrere zehntausend Passwörter durchprobiert werden können ist das GROB FAHRLÄSSIG!

    Was würdet ihr denn sagen, wenn sich Bankkarten nach drei falschen Eingaben nicht sperren würden? Ich hoffe Apple und andere Unternehmen lernen daraus.

  8. Hahaha. Einfach nur göttlich wie sehr doch manche hier anscheinend am Stockholm Syndrom leiden und Apple immer noch in Schutz nehmen.

    Wenn die einzige Antwort von Apple ist, das dauert zu lange das Passwort auf diesem Weg herauszufinden, dann haben die security Leute bei Apple den falschen Job. Wahnsinn. Denken die bei Apple etwa, der Typ sitzt zu Hause und gibt die Passwörter von Hand ein? Irre.

    Wenn kein Problem besteht, warum hat dann Apple nach dem leak plötzlich die 2FA eingeführt? Nachdem das jahrelang nicht nötig war? Warum jetzt die Beschränkung in der Anzahl der Passwort Eingabe?

    Ich glaube Apple hier kein Wort. Und auch die von Tim Cook groß angekündigte Sicherheitsoffensive halte ich für reine PR. Apple ist nur noch der Getriebene.

  9. Schrom Rügenwalder says:

    @Vincent: 2013/14 nicht mitbekommen dass auf mehrere Accounts eine Bruteforce Attacke läuft? Sorry aber ich bekomme ja schon nach 3x falsch eingegebenem Passwort bei div. Maildiensten die Warnmail, dass jemand versucht hat sich ,von der und der IP, um die und die Uhrzeit, Zugriff zu verschaffen.
    Bei Facebook musste ich iwann Freunde indentifizieren etc.
    Und wenn ich meine Daten einer Cloud anvertraue dann will ich, dass da nicht jemand mit einer Bruteforce Attacke da ran kommt, auch wenn er ab dem heutigen Tag fünf Jahre dafür braucht!

  10. „Bruteforce-Lücke“ also. „Lücke“. Aha..

    • Genau genommen war das schon mehr als eine „Lücke“. Das ist ein grob fahrlässiger Konstruktionsfehler, ähnlich wie eine abgerundete dünne Blechhülle mit Sollbruchstelle. Broken by Design.

  11. Ich verstehe da Apple voll und ganz. Wer nicht in der Lage ist ein richtiges Passwort zu verwenden, dem schadet es auch nicht wenn seine Daten die Runde machen. Auch nochmal für euch: H#(m2: ist z.B. kein sicheres Passwort. j9Am31bu923Vg03j würde man hingegen nicht mit einem Handelsüblichen Server knacken können.

  12. Mit Apple eröffnen sich uns so ganz neue Einblicke ins Leben unserer Lieblingspromis, wer kann da schon etwas dagegen haben. Nach Pflaumen und Melonen präsentiert der Apfel dann dank Apple Pay demnächst auch deren Kreditkartenumsätze 😀

    Jajaja, wer den Schaden hat, braucht für den Spott nicht zu sorgen. Seinerzeit Skydrive hatte ja auch mal eine Lücke bei der Bilderfreigabe. Hat nur keiner gemerkt da so wenig genutzt.

  13. @Oli: Naja ich würde das Passwort nicht als Sicher einstufen. Es ist vielleicht ganz gut gegen reine Brute Force Attacken, aber es gibt ja heutzutage mehr Möglichkeiten wie Rainbow Tables, Markov Chains und dazu GPU nutzung. Deswegen immer Sonderzeichen mit rein nehmen. 😉

  14. Naja, eine wirkliche Lücke ist/war es nicht.
    Oder ist es auch eine Lücke, Mails nicht zu verschlüsseln oder wenn einem jemand im Bus über die Schulter aufs Display guckt?

    @Sacha: so zum Vergleich, wisst ihr wie es bei anderen Cloud Diensten ist? Sind Google Drive oder MS OneDrive für BruteForce anfällig oder machen die irgendwann dicht?

  15. @Oli
    Wenn man ne Apple ID einrichtet, muss man ein sicheres Passwort wählen. Da kommt man nicht drumrum. Siehe hier: http://support.apple.com/kb/HT4232?viewlocale=de_DE
    „mindestens 8 Zeichen, nicht mehr als 3 identische Zeichen hintereinander, eine Zahl, einen Groß- sowie einen Kleinbuchstaben enthalten.“ Das macht 218.340.105.584.896 Kombinationen. Das geht nicht per brute-force nicht über’s Netzwerk. Die Accounts wurden über die Sicherheitsfragen geknackt.

    Der Rest labert dass Apple keine Ahnung von Sicherheit hat, und ignoriert dass Google Services über die gleiche Methode angreifbar waren. Das sieht man sogar im vorletzten Screenshot oben.

    Das hat nichts mit Stockholm Syndrom zu tun. Fakt ist dass hier zu 90% in den Kommentaren nur ungebildeter Schwachsinn und getrolle steht.

  16. @Kalle: Danke. Gibt noch Leute im Netz die sich informieren und selber nachschauen anstatt nur den neusten Gossip nachzulabern.

  17. @Kalle & pantoschka: wenn die Schlussfolgerung nur stimmen würde… .
    Denkbar ist eine Kombination von „educated guess“, social enineering und BF (die dannn gar nicht mehr so „brute“ ist.

    Bsp: Ein Star wählt folgendes, richtlinienkonformes PW für Apple ID: „Tinkerbell81!“
    Teile des PW rät man (ggf. lässt man sich hier durch SE „helfen“) und die vermutlich sinnvollsten Kombinationen (könnte ja auch: „81TinkerBell!“ sein) generiert man in Tabelle, welche dann über BF ausprobieren kann.

    BTW: ich hab‘ so was noch nie probiert, hört sich aber machbar an, oder?

    Was ich sagen wollte: Die Richtlinien schützen nicht vor schwachen PWern – nur vor extrem schwachen ;); letztlich kommt es immer auf den Vestand des Users an.

  18. Schrom Rügenwalder says:

    @Kalle: Und wie haben sie die Sicherheitsfragen beantworten können? Ernst gemeinte Frage.

  19. @Kalle

    Sorry, aber Apple hat von Sicherheit keine Ahnung. Wie sollten sie auch ?
    Sie haben sich jahrelang darauf ausgeruht das sich Hacker für ihre Systeme einfach nicht interessiert haben.

    Außerdem hat Apple schon immer sehr träge auf gemeldete Fehler reagiert, wenn überhaupt. Dazu muss man sich einfach mal eine länger Zeit in den offiziellen Apple Foren herumtreiben.

  20. Wenn Apple keine Ahnung von Sicherheit hat, wie kommt es dann, dass es immer länger dauert bis ein Jailbreak für die neuste iOS Version erscheint? Bei iOS 6 dauert es schon ordentlich, mit iOS7 noch länger. Für AppleTV 3 gibt es bis heute keinen Exploit.

    Wenn man dagegen sieht wie schnell die Bootloader von Android Smartphones geknackt werden…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.