Tim Cook: Apple nicht schuld an iCloud-„Hack“, trotzdem werden neue Schutzmaßnahmen eingeführt
Tim Cook äußerte sich in einem Interview erstmals zum iCloud-Hack von vor ein paar Tagen. Die Hacker hätten die Sicherheitsfragen der Promi-Opfer korrekt beantwortet und konnten sich so in die Accounts einloggen. Tim Cook sieht das Problem zudem eher bei der Aufklärung, als technisch weiter aufzurüsten. Apple bietet eine 2-Faktor-Authentifizierung an, die nach seiner Aussage aber nicht viel genutzt wird. Deshalb müsse man die Nutzer sensibilisieren.
Auch zu der Kritik an Apple in diesem Fall äußerte sich Cook und verwies auf die Sicherheits-Features, die bei Apple präsent sind, insbesondere Touch ID, was auch zur Zahlungsbestätigung im App Store genutzt werden kann. Auf die fehlende Anmeldungsversuchs-Beschränkung ging er dabei allerdings nicht ein.
In Zukunft wird Apple auch für iCloud Mails verschicken, wenn das Passwort geändert wird oder versucht wird, von einem neuen Apple-Gerät darauf zuzugreifen. Dieses Vorgehen praktiziert Apple bereits, wenn man sich mit einer Apple-ID erstmals von einem neuen Gerät aus in iTunes oder dem App Store einloggt und Käufe tätigt.
Außerdem will Apple die 2-Faktor-Authentifizierung stärker in den Vordergrund rücken, was bereits mit iOS 8 und iCloud geschehen soll. Noch einmal zurück zum Fall der gestohlenen Celebrity-Fotos sagt Tim Cook: „We want to do everything we can do to protect our customers, because we are as outraged if not more so than they are.“
Typisch Apple! Man hatte damals ja auch keine Fehler im Antennen-Design, sondern die Nutzer halten das Gerät falsch. Das ist fast schon rassistisch, Betroffene Nutzer wären zu dumm oder unfähig ein Apple-Dienst zu bedienen.
Die 2-Faktor Authentifizierung scheint bei der iCloud ja nicht viel zu bringen bzw nicht richtig implementiert zu sein
http://rustyshelf.org/2014/09/03/security-by-deflection/
Ich hol schonmal das Popcorn..
Ich denke es wäre an der Zeit zu hinterfragen, ob nicht die Idee von Sicherheitsfragen an sich eine gewaltige Lücke darstellt. Es sollten andere Methoden zur Wiederherstellung eines Accounts verwendet werden, ggf. auch solche wie “mit Ausweis zum Apple Store“. Sicherheitsfragen werden vermutlich IMMER leicht erratbar sein.
2-Faktor Authentifizierung war auch lange nicht (überall) verfügbar. In der Schweiz konnte ich es bspw. erst vor gar nicht allzu langer Zeit aktiverien.
@Yu Nicht wenn man Antoworten im Stile von „koc7do0quo4fler9ob4bodd7y“ oder „vus-am-duec-aw-ceit-mem-v“ auswählt. 😉
@Boris Lewandowski aber die Sicherheitsfragen sind nicht so deklariert und der Ottonormalverbraucher wird auch kaum was andres eintragen. Allgemein sind sie ne heftige Sicherheitslücke.
@M3gaFr3ak
Sehe ich auch so. Und gerade bei Prominenten, die dann am besten schon mit 30 ihre Biographie veröffentlichen – die dann auch wirklich jedes Detail enthält, um auf eine gewisse Länge zu kommen – dürfte das Knacken der Accounts entsprechend einfach sein.
Ich denke echt es war ein Abfishen von Passwörtern über Wlan und so…
Natürlich trägt Apple große Mitschuld, das kann die Schadensbegrenzungs-PR nicht auf die User abwälzen. Wenn jeder ungebremst beliebig viele Passwörter durchprobieren kann, dann ist das mehr als eine Sicherheitslücke. Das ist „BROKEN BY DESIGN“.
In diesem Fall dürfte eine Sammelklage der Apple-Opfer in den USA auf Schadenersatz große Aussichten auf Erfolg haben.
Die Passwörter können überhaupt nicht per brute-force abgegriffen worden sein. Das würde viel zu lange dauern. Hättest du den Artikel gelesen, wüsstest du das die Sicherheitsfragen korrekt beantwortet wurden, was bei Promis nicht sooo schwer sein sollte.
@Leif
Der Link den du postest ist voller FUD und Bullshit.
@Boris
Klar, aber wenn man so ein kryptisches PW hat, wozu braucht man dann noch so eine kryptische Sicherheitsfrage? Irgendwie überflüssig. Die Dienstanbieter, die uns solche Sicherheitsabfragen aufzwingen verleitet einen geradezu irgendetwas anzugeben, womit man den Account leicht knacken kann, denn dort wird niemals empfohlen, so etwas Kryptisches zu generieren, sondern etwas leicht zu Merkendes. Das ist und bleibt fahrlässig und ermuntert geradezu auch so mit dem eigentlichen PW zu verfahren. Wer nicht weiß was ein PW ist und wozu es gut sein soll, sollte sich nirgendwo anmelden oder das mit dem Internet gleich ganz lassen. Aber Apple, v.a. Tim Cook hat es sich zur Aufgabe gemacht, mit dem ersten iPhone das Internet auch für jeden DAU zugänglich zu machen, was Apple ja vorzüglich gelungen ist. Dass Apple jetzt einsieht, dass nur Bildung und Schulung zu mehr Sicherheit führen und nicht irgendeine Technik ist bemerkenswert!
@Boris
Klar, aber wenn man so ein kryptisches PW hat, wozu braucht man dann noch so eine kryptische Sicherheitsfrage? Irgendwie überflüssig. Die Dienstanbieter, die uns solche Sicherheitsabfragen aufzwingen verleitet einen geradezu irgendetwas anzugeben, womit man den Account leicht knacken kann, denn dort wird niemals empfohlen, so etwas Kryptisches zu generieren, sondern etwas leicht zu Merkendes. Das ist und bleibt fahrlässig und ermuntert geradezu auch so mit dem eigentlichen PW zu verfahren. Wer nicht weiß was ein PW ist und wozu es gut sein soll, sollte sich nirgendwo anmelden oder das mit dem Internet gleich ganz lassen. Aber Apple, v.a. Tim Cook hat es sich zur Aufgabe gemacht, mit dem ersten iPhone das Internet auch für jeden Offliner zugänglich zu machen, was Apple ja vorzüglich gelungen ist. Dass Apple jetzt einsieht, dass nur Bildung und Schulung zu mehr Sicherheit führen und nicht irgendeine Technik ist bemerkenswert!
Was mich wundert: ich bekomme schon seit .mac eine E-Mail, wenn ich mich erstmals von einem anderen Gerät an den Apple-Dienst anmelde. Wo ist da die Neuerung? Oder verstehe ich etwas falsch?
Bei en Sicherheitsfragen darf man einfach nicht antworten, was da steht, damit es niemand errät. Bei der Frage nach dem Lieblingsverein kann da auch mal stehen „Ich_hasse_den_FC_Bayern“ oder beim Ersten Urlaubsort „Französche_Hauptstadt_Paris“. Man muss es etwas anders formulieren oder gleich was falsches eintragen. Man muss nur selbst wissen, was man da einträgt.
PS: Mit der Zwei Faktor Authentifizierung werden die Fragen eh entfernt. Da gibts ja dann andere Wege der Wiederherstellung…
Apple ist nicht schuld, weil Apple niemals schuld sein kann! Wann werden das endlich auch die letzten Blödiane kapieren? Stattdessen lassen sie den armen Tim im selbstgeworfenen Nebel stehn und von Rhabarber erzählen. Einfach unverschämt.
@DieMathematik: Das untergräbt halt den Sinn der Sicherheitsfrage und ist eben NICHT, was typische Nutzer eingeben werden. Und wenn man einen alten Account nutzt, bei dem man damals noch naiv „ehrlich“ geantwortet hat (da noch zu wenig Wissen über accountsicherheit), ist man sich der Lücke vielleicht nicht mal bewusst.
Auch wenn es möglicherweise nicht die Ursache war, über die die Passwörter abgegriffen wurden, aber die FindMyIPhone API hatte keine Teergrube o.ä. implementiert, um einen Brutforceangriff zu verhindern.
Das ist grob fahrlässig.
Davon abgesehen: Apple wird natürlich nicht zugeben, dass die iCloud gehackt wurde. Der Imageschaden wäre fatal, genau so wie die Klagewelle.
Manche Sicherheitsfragen sind auch extrem leicht zu beantworten. Hatte schon: In welcher Stadt sind Sie geboren, welche Schule haben Sie besucht, oder Mädchenname der Mutter. Das steht bei manchen Promis bei Wikipedia.
2-Fakor Authentifizierung ist auch nicht die Lösung, da dann kein Cloud-Zugriff über Apps mehr möglich ist. Dann muss ein App Passwort generiert werden, welches keine Sonderzeichen und Großbuchstaben enthält.