The Fappening: Apple wusste bereits seit März von iCloud-Bruteforce-Lücke
Eine Lücke in iCloud ermöglichte es, per Bruteforce-Attacke in iCloud-Konten einzudringen. Es gab keine Begrenzung der Anmeldeversuche, das Resultat waren hunderte Privatfotos von Berühmtheiten, die in das Internet entlassen wurden. Auch als „The Fappening“ bekannt. Apple reagierte relativ schnell, sicherte iCloud weiter ab, auch durch 2-Faktor-Authentifizierung. Wie sich jetzt herausstellt, wusste Apple bereits seit dem 26. März 2014 von der Lücke.
Ibrahim Balic benachrichtigte Apple mehrfach über die Bruteforce-Möglichkeit in iCloud. Apple nahm diese Mails und Einträge auch wahr, am 6. Mai erhielt Balic eine Rückfrage, ob die Attacke auch schneller durchführbar sei, da es auf diese Weise eine lange Zeit dauert, bis man einen gültigen Auth-Token erlangen würde.
Apple erklärte nach der Veröffentlichung der Fotos, dass es sich nicht um eine generelle Lücke handelt und die Angreifer gezielt auf die Accounts der Stars einwirkten. Gleichzeitig führte man aber neue Schutzmaßnahmen ein.
Ibrahim Balic entdeckte nicht zum ersten Mal eine Lücke bei Apple. Bereits 2013 deckte er eine im Developer Center auf und wurde auch von Apple als Entdecker selbiger genannt. Warum Apple allerdings nicht auf die iCloud-Hinweise reagiert hat, ist schleierhaft. Vermutlich wird sich Apple dazu auch nicht äußern.
Die hier gezeigten E-Mails wurden von DailyDot veröffentlicht, welche diese auch prüfen haben lassen. Man kann also davon ausgehen, dass sie echt sind. Apple hat in letzter Zeit immer häufiger mit Problemen zu kämpfen, sei es in Sachen Sicherheit oder auch fehlerhafte Updates. Während Fehler durchaus etwas Normales sind, ist der Umgang mit ihnen seitens Apple oftmals sehr fragwürdig.
Wird geladen ...
@Schrom Rügenwalder
Vviele Antworten auf Sicherheitsfragen dürften sich bei Promis mit googlen lösen lassen.
@plantoschka
Man könnte boshaft sagen beim Jailbreak geht es um die eigene Sicherheit 😉
Beim Entsperren meines unsicheren Android Bootloader half mir sogar der Hersteller.
@plantoschka: Das sind zwei paar Schuhe. Wenn ich mein Gerät jailbreake/roote gehe ich bewusst ein Sicherheitsrisiko ein. Und der iOS 8 Jailbreak wird auch kommen, da bin ich mir sicher.
Was die Bootloader von Android angeht…. Das hängt vom jeweiligen Hersteller ab und hat nichts mit Android an sich zu tun. HTC hat vor ein paar Jahren z.B. ein Tool veröffentlicht, damit die User den Bootloader ohne Risiko entsperren konnten. Na gut da war viel Druck von der Community dahinter.
Was Apple und Sicherheit angeht: ich hatte vor 4 Jahren ein Gespräch mit einem Entwickler eines großen Anti-Virus Herstellers, der eben die App für Android vorgestellt hat. Auf meine Frage ob es das auch fürs iPhone gibt, habe ich nur die murrende Antwort bekommen, dass Apple sich komplett quer stellt was die Zusammenarbeit angeht, damit ja keine Details an die Außenwelt geraten.
Apple wollte nicht den Ruf verlieren, ohne Virenscanner auszukommen.
„Einfach nur göttlich wie sehr doch manche hier anscheinend am Stockholm Syndrom leiden und Apple immer noch in Schutz nehmen.“
Besser hätte ich es nicht sagen können. 😀
Herzlichen Glückwunsch Apple, da sagt euch jemand das ihr bei so unwichtigen Sachen quasi gar keine Sicherheitsmaßnahmen hat die seit mehr als 10 Jahren absoluter Standard sind und da machen wir lieber gar nichts. Solange es keiner merkt ist doch alles ok …
Das wir uns richtig verstehen, mittels Wörterbuch Brute Force lassen sich Konten in relativ überschaubaren Zeitdimensionen angreifen. Die Zeiten von reinem Bruteforce wo es sinnlos einfach alles durchprobiert sind sehr lange vorbei.
Das lächerliche an der Sache ist ja das man sich mit einem Aufwand von unter 1 Stunde Programmierarbeit nur eine Abfrage einbauen müsste die das Konto sperrt wenn mehr als z.B. 3x versucht wurde darauf zuzugreifen. Das ist ja auch keine Zauberei, wenn man das vergessen hat hätte das allerspätestens nach einem Audit sofort auffallen müssen (wenn es da einen gibt).
@ ban
Das stimmt schon. Passwörter wie Princess1, Blink182, oder Passw0rd entsprechen auch den Richtlinien. Was würde aber bedeuten, dass jeder dieser Celebs ein Password dieser Art gewählt hätte.
@Schrom Rügenwalder
Meine Sicherheitsfragen sind der Name meines ersten Haustieres, mein Traumberuf und die Strasse, in der ich aufgewachsen bin. Ich denke bei jedem x-beliebigen Promi ist das kein grosser Aufwand. Nicht mal bei deinen Kumpels heutzutage mit Facebook etc.
Sicherheitsfragen fand ich schon immer extrem unsicher und veraltet, ich trage da nur ‚richtige‘ Passwörter ein. Wenigstens fallen die Fragen jetzt mit 2FA weg.
@Alex
Apple hat von Sicherheit keine Ahnung? Ich bezweifle dass du dich ersthaft mit dem Thema auseinandergesetzt hast:
https://www.apple.com/privacy/docs/iOS_Security_Guide_Sept_2014.pdf
Ausserdem hat das Ausnutzen von Schwachstellen nichts mit der Verbreitung von System zu tun. Das ist ein alter Trugschluss. Für Mac OS 7 waren hunderte Viren und Würmer in Umlauf (hatte selbst einige), und das war weniger verbreitet als Mac OS X selbst in Anfangstagen.
@namerp
Mach dich nicht lächerlich. Google Services waren zur gleichen Zeit über die gleiche Methode angreifbar. Ausserdem ist es eine Behauptung Saschas, dass das jetzt mit „Celebgate“ zusammenhängt.
@Kalle
also wenn andere den selben Fehler gemacht haben (scheinbar hat Google ja reagiert) ist der Fehler also keiner mehr ?
Auch wenn das Celebgate nun nicht durch die Lücke zustande gekommen ist, heißt das ja noch immer das die iCloud noch nicht mal gegenüber die simpelsten Hackversuche geschützt war. Das eigentliche verheerende ist ja das mal selbst nach der Meldung des Fehlers nichts gemacht hat. Muss man jetzt iFan sein um solches Versagen zu rechtfertigen ?
Nein, man muss einfach mal gesunden Menschenverstand walten lassen. Ausserdem stellst Behauptungen auf und fängst an zu labern. Du siehst schon dass man mit ihm in Kontakt war und die Lücke letztendlich gefixt hat? Diese Art von Sülze steht nur unter den Apple-Artikeln. Gestern hat Mozilla kritische Fixes rausgehauen. Nichts dergleichen. Auch nicht unter dem Shellshock-Artikel.