The Fappening: Apple wusste bereits seit März von iCloud-Bruteforce-Lücke

Eine Lücke in iCloud ermöglichte es, per Bruteforce-Attacke in iCloud-Konten einzudringen. Es gab keine Begrenzung der Anmeldeversuche, das Resultat waren hunderte Privatfotos von Berühmtheiten, die in das Internet entlassen wurden. Auch als „The Fappening“ bekannt. Apple reagierte relativ schnell, sicherte iCloud weiter ab, auch durch 2-Faktor-Authentifizierung. Wie sich jetzt herausstellt, wusste Apple bereits seit dem 26. März 2014 von der Lücke.

Apple_iCloud_Brute_01

Ibrahim Balic benachrichtigte Apple mehrfach über die Bruteforce-Möglichkeit in iCloud. Apple nahm diese Mails und Einträge auch wahr, am 6. Mai erhielt Balic eine Rückfrage, ob die Attacke auch schneller durchführbar sei, da es auf diese Weise eine lange Zeit dauert, bis man einen gültigen Auth-Token erlangen würde.

Apple_iCloud_Brute_02

Apple erklärte nach der Veröffentlichung der Fotos, dass es sich nicht um eine generelle Lücke handelt und die Angreifer gezielt auf die Accounts der Stars einwirkten. Gleichzeitig führte man aber neue Schutzmaßnahmen ein.

Apple_iCloud_Brute_03

Ibrahim Balic entdeckte nicht zum ersten Mal eine Lücke bei Apple. Bereits 2013 deckte er eine im Developer Center auf und wurde auch von Apple als Entdecker selbiger genannt. Warum Apple allerdings nicht auf die iCloud-Hinweise reagiert hat, ist schleierhaft. Vermutlich wird sich Apple dazu auch nicht äußern.

Die hier gezeigten E-Mails wurden von DailyDot veröffentlicht, welche diese auch prüfen haben lassen. Man kann also davon ausgehen, dass sie echt sind. Apple hat in letzter Zeit immer häufiger mit Problemen zu kämpfen, sei es in Sachen Sicherheit oder auch fehlerhafte Updates. Während Fehler durchaus etwas Normales sind, ist der Umgang mit ihnen seitens Apple oftmals sehr fragwürdig.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

29 Kommentare

  1. Das Verhalten von Apple in den letzten Jahren hat immer wieder gezeigt, dass ihnen ihr öffentliches Image wichtiger ist als die Sicherheit der User. Schnelle Reaktionen gibt es immer erst dann, wenn der öffentliche Druck zu groß wird.

  2. Oyoyoyoyoyoi, Grob Fahrlässig kann SEHR SEHR teuer werden !!!!

  3. Bitte genau lesen, bevor man es überbewertet: der Apple-Mensch hat das sehr wohl wahrgenommen und nach seiner Einschätzung dauert es unverhältnismäßig lange bis man tatsächlich in einen Account kommt.

    Dies, liebe Leute, gilt grundsätzlich für Sicherheit. Es gibt keine 100%ige Sicherheit. Gerade im Bereich Informationssicherheit geht es darum, dass man nicht mit machbarem oder vertretbarem Aufwand (Zeit, Ressourcen) an die Informationen kommt – nicht darum, dass es absolut unmöglich ist.

    Grob fahrlässig (im rechtlichen Sinne) ist hier also mal gar nichts…

  4. Ähm wieso wird hier sofort suggeriert der Leak lag am „Bug“? Dem ist laut Apple definitiv nicht so. Social Engineering ist um vielfaches schneller als Bruteforce 🙂 Und vor Social Engineering ist kein Dienst geschützt. Das muss der Nutzer selber in die Hand nehmen.

  5. > Während Fehler durchaus etwas Normales sind, ist der Umgang mit ihnen seitens Apple oftmals sehr fragwürdig.

    Wie du jetzt zu der Schlussfolgerung kommst musst du erstmal erklären. Erst recht nachdem Apple den mit dem Sicherheitsforscher in Kontakt war und ihn sogar mehrfach auf dieser Seite erwähnt: http://support.apple.com/kb/HT1318
    Ein Statement von Tim Cook gab’s auch zum Thema.

    @plantoschka
    Das ist jetzt einfach so weil sich Journalisten, Blogger und Leser drauf geeinigt haben, selbst wenn Apple das Gegenteil behauptet. Und du hast Recht, die Sicherheitsfragen sind viel unsicherer.

  6. Apple hat von Sicherheit keine Ahnung.
    Das beweisen sie beim Mac und das beweisen sie beim iPhone.
    Warum sollte es bei anderen Apple Produkten anders sein.
    Warum wundert sich da immer noch jemand drüber?

  7. Natürlich ist das grob fahrlässig! Zumal man durch kombinierte Listen aus Wörterbuch- und Kennwortrichtlinien die mögliche Zahl an Passwörtern schnell dezimieren kann, wenn man dann als großes Unternehmen noch immer zulässt, dass mehrere zehntausend Passwörter durchprobiert werden können ist das GROB FAHRLÄSSIG!

    Was würdet ihr denn sagen, wenn sich Bankkarten nach drei falschen Eingaben nicht sperren würden? Ich hoffe Apple und andere Unternehmen lernen daraus.

  8. Hahaha. Einfach nur göttlich wie sehr doch manche hier anscheinend am Stockholm Syndrom leiden und Apple immer noch in Schutz nehmen.

    Wenn die einzige Antwort von Apple ist, das dauert zu lange das Passwort auf diesem Weg herauszufinden, dann haben die security Leute bei Apple den falschen Job. Wahnsinn. Denken die bei Apple etwa, der Typ sitzt zu Hause und gibt die Passwörter von Hand ein? Irre.

    Wenn kein Problem besteht, warum hat dann Apple nach dem leak plötzlich die 2FA eingeführt? Nachdem das jahrelang nicht nötig war? Warum jetzt die Beschränkung in der Anzahl der Passwort Eingabe?

    Ich glaube Apple hier kein Wort. Und auch die von Tim Cook groß angekündigte Sicherheitsoffensive halte ich für reine PR. Apple ist nur noch der Getriebene.

  9. Schrom Rügenwalder says:

    @Vincent: 2013/14 nicht mitbekommen dass auf mehrere Accounts eine Bruteforce Attacke läuft? Sorry aber ich bekomme ja schon nach 3x falsch eingegebenem Passwort bei div. Maildiensten die Warnmail, dass jemand versucht hat sich ,von der und der IP, um die und die Uhrzeit, Zugriff zu verschaffen.
    Bei Facebook musste ich iwann Freunde indentifizieren etc.
    Und wenn ich meine Daten einer Cloud anvertraue dann will ich, dass da nicht jemand mit einer Bruteforce Attacke da ran kommt, auch wenn er ab dem heutigen Tag fünf Jahre dafür braucht!

  10. „Bruteforce-Lücke“ also. „Lücke“. Aha..

    • Genau genommen war das schon mehr als eine „Lücke“. Das ist ein grob fahrlässiger Konstruktionsfehler, ähnlich wie eine abgerundete dünne Blechhülle mit Sollbruchstelle. Broken by Design.

  11. Ich verstehe da Apple voll und ganz. Wer nicht in der Lage ist ein richtiges Passwort zu verwenden, dem schadet es auch nicht wenn seine Daten die Runde machen. Auch nochmal für euch: H#(m2: ist z.B. kein sicheres Passwort. j9Am31bu923Vg03j würde man hingegen nicht mit einem Handelsüblichen Server knacken können.

  12. Mit Apple eröffnen sich uns so ganz neue Einblicke ins Leben unserer Lieblingspromis, wer kann da schon etwas dagegen haben. Nach Pflaumen und Melonen präsentiert der Apfel dann dank Apple Pay demnächst auch deren Kreditkartenumsätze 😀

    Jajaja, wer den Schaden hat, braucht für den Spott nicht zu sorgen. Seinerzeit Skydrive hatte ja auch mal eine Lücke bei der Bilderfreigabe. Hat nur keiner gemerkt da so wenig genutzt.

  13. @Oli: Naja ich würde das Passwort nicht als Sicher einstufen. Es ist vielleicht ganz gut gegen reine Brute Force Attacken, aber es gibt ja heutzutage mehr Möglichkeiten wie Rainbow Tables, Markov Chains und dazu GPU nutzung. Deswegen immer Sonderzeichen mit rein nehmen. 😉

  14. Naja, eine wirkliche Lücke ist/war es nicht.
    Oder ist es auch eine Lücke, Mails nicht zu verschlüsseln oder wenn einem jemand im Bus über die Schulter aufs Display guckt?

    @Sacha: so zum Vergleich, wisst ihr wie es bei anderen Cloud Diensten ist? Sind Google Drive oder MS OneDrive für BruteForce anfällig oder machen die irgendwann dicht?

  15. @Oli
    Wenn man ne Apple ID einrichtet, muss man ein sicheres Passwort wählen. Da kommt man nicht drumrum. Siehe hier: http://support.apple.com/kb/HT4232?viewlocale=de_DE
    „mindestens 8 Zeichen, nicht mehr als 3 identische Zeichen hintereinander, eine Zahl, einen Groß- sowie einen Kleinbuchstaben enthalten.“ Das macht 218.340.105.584.896 Kombinationen. Das geht nicht per brute-force nicht über’s Netzwerk. Die Accounts wurden über die Sicherheitsfragen geknackt.

    Der Rest labert dass Apple keine Ahnung von Sicherheit hat, und ignoriert dass Google Services über die gleiche Methode angreifbar waren. Das sieht man sogar im vorletzten Screenshot oben.

    Das hat nichts mit Stockholm Syndrom zu tun. Fakt ist dass hier zu 90% in den Kommentaren nur ungebildeter Schwachsinn und getrolle steht.

  16. @Kalle: Danke. Gibt noch Leute im Netz die sich informieren und selber nachschauen anstatt nur den neusten Gossip nachzulabern.

  17. @Kalle & pantoschka: wenn die Schlussfolgerung nur stimmen würde… .
    Denkbar ist eine Kombination von „educated guess“, social enineering und BF (die dannn gar nicht mehr so „brute“ ist.

    Bsp: Ein Star wählt folgendes, richtlinienkonformes PW für Apple ID: „Tinkerbell81!“
    Teile des PW rät man (ggf. lässt man sich hier durch SE „helfen“) und die vermutlich sinnvollsten Kombinationen (könnte ja auch: „81TinkerBell!“ sein) generiert man in Tabelle, welche dann über BF ausprobieren kann.

    BTW: ich hab‘ so was noch nie probiert, hört sich aber machbar an, oder?

    Was ich sagen wollte: Die Richtlinien schützen nicht vor schwachen PWern – nur vor extrem schwachen ;); letztlich kommt es immer auf den Vestand des Users an.

  18. Schrom Rügenwalder says:

    @Kalle: Und wie haben sie die Sicherheitsfragen beantworten können? Ernst gemeinte Frage.

  19. @Kalle

    Sorry, aber Apple hat von Sicherheit keine Ahnung. Wie sollten sie auch ?
    Sie haben sich jahrelang darauf ausgeruht das sich Hacker für ihre Systeme einfach nicht interessiert haben.

    Außerdem hat Apple schon immer sehr träge auf gemeldete Fehler reagiert, wenn überhaupt. Dazu muss man sich einfach mal eine länger Zeit in den offiziellen Apple Foren herumtreiben.

  20. Wenn Apple keine Ahnung von Sicherheit hat, wie kommt es dann, dass es immer länger dauert bis ein Jailbreak für die neuste iOS Version erscheint? Bei iOS 6 dauert es schon ordentlich, mit iOS7 noch länger. Für AppleTV 3 gibt es bis heute keinen Exploit.

    Wenn man dagegen sieht wie schnell die Bootloader von Android Smartphones geknackt werden…

  21. @Schrom Rügenwalder
    Vviele Antworten auf Sicherheitsfragen dürften sich bei Promis mit googlen lösen lassen.

    @plantoschka
    Man könnte boshaft sagen beim Jailbreak geht es um die eigene Sicherheit 😉
    Beim Entsperren meines unsicheren Android Bootloader half mir sogar der Hersteller.

  22. Schrom Rügenwalder says:

    @plantoschka: Das sind zwei paar Schuhe. Wenn ich mein Gerät jailbreake/roote gehe ich bewusst ein Sicherheitsrisiko ein. Und der iOS 8 Jailbreak wird auch kommen, da bin ich mir sicher.
    Was die Bootloader von Android angeht…. Das hängt vom jeweiligen Hersteller ab und hat nichts mit Android an sich zu tun. HTC hat vor ein paar Jahren z.B. ein Tool veröffentlicht, damit die User den Bootloader ohne Risiko entsperren konnten. Na gut da war viel Druck von der Community dahinter.
    Was Apple und Sicherheit angeht: ich hatte vor 4 Jahren ein Gespräch mit einem Entwickler eines großen Anti-Virus Herstellers, der eben die App für Android vorgestellt hat. Auf meine Frage ob es das auch fürs iPhone gibt, habe ich nur die murrende Antwort bekommen, dass Apple sich komplett quer stellt was die Zusammenarbeit angeht, damit ja keine Details an die Außenwelt geraten.
    Apple wollte nicht den Ruf verlieren, ohne Virenscanner auszukommen.

  23. „Einfach nur göttlich wie sehr doch manche hier anscheinend am Stockholm Syndrom leiden und Apple immer noch in Schutz nehmen.“

    Besser hätte ich es nicht sagen können. 😀

  24. Herzlichen Glückwunsch Apple, da sagt euch jemand das ihr bei so unwichtigen Sachen quasi gar keine Sicherheitsmaßnahmen hat die seit mehr als 10 Jahren absoluter Standard sind und da machen wir lieber gar nichts. Solange es keiner merkt ist doch alles ok …

    Das wir uns richtig verstehen, mittels Wörterbuch Brute Force lassen sich Konten in relativ überschaubaren Zeitdimensionen angreifen. Die Zeiten von reinem Bruteforce wo es sinnlos einfach alles durchprobiert sind sehr lange vorbei.

    Das lächerliche an der Sache ist ja das man sich mit einem Aufwand von unter 1 Stunde Programmierarbeit nur eine Abfrage einbauen müsste die das Konto sperrt wenn mehr als z.B. 3x versucht wurde darauf zuzugreifen. Das ist ja auch keine Zauberei, wenn man das vergessen hat hätte das allerspätestens nach einem Audit sofort auffallen müssen (wenn es da einen gibt).

  25. @ ban
    Das stimmt schon. Passwörter wie Princess1, Blink182, oder Passw0rd entsprechen auch den Richtlinien. Was würde aber bedeuten, dass jeder dieser Celebs ein Password dieser Art gewählt hätte.

    @Schrom Rügenwalder
    Meine Sicherheitsfragen sind der Name meines ersten Haustieres, mein Traumberuf und die Strasse, in der ich aufgewachsen bin. Ich denke bei jedem x-beliebigen Promi ist das kein grosser Aufwand. Nicht mal bei deinen Kumpels heutzutage mit Facebook etc.
    Sicherheitsfragen fand ich schon immer extrem unsicher und veraltet, ich trage da nur ‚richtige‘ Passwörter ein. Wenigstens fallen die Fragen jetzt mit 2FA weg.

    @Alex
    Apple hat von Sicherheit keine Ahnung? Ich bezweifle dass du dich ersthaft mit dem Thema auseinandergesetzt hast:
    https://www.apple.com/privacy/docs/iOS_Security_Guide_Sept_2014.pdf

    Ausserdem hat das Ausnutzen von Schwachstellen nichts mit der Verbreitung von System zu tun. Das ist ein alter Trugschluss. Für Mac OS 7 waren hunderte Viren und Würmer in Umlauf (hatte selbst einige), und das war weniger verbreitet als Mac OS X selbst in Anfangstagen.

  26. @namerp
    Mach dich nicht lächerlich. Google Services waren zur gleichen Zeit über die gleiche Methode angreifbar. Ausserdem ist es eine Behauptung Saschas, dass das jetzt mit „Celebgate“ zusammenhängt.

  27. @Kalle

    also wenn andere den selben Fehler gemacht haben (scheinbar hat Google ja reagiert) ist der Fehler also keiner mehr ?

    Auch wenn das Celebgate nun nicht durch die Lücke zustande gekommen ist, heißt das ja noch immer das die iCloud noch nicht mal gegenüber die simpelsten Hackversuche geschützt war. Das eigentliche verheerende ist ja das mal selbst nach der Meldung des Fehlers nichts gemacht hat. Muss man jetzt iFan sein um solches Versagen zu rechtfertigen ?

  28. Nein, man muss einfach mal gesunden Menschenverstand walten lassen. Ausserdem stellst Behauptungen auf und fängst an zu labern. Du siehst schon dass man mit ihm in Kontakt war und die Lücke letztendlich gefixt hat? Diese Art von Sülze steht nur unter den Apple-Artikeln. Gestern hat Mozilla kritische Fixes rausgehauen. Nichts dergleichen. Auch nicht unter dem Shellshock-Artikel.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.