Viele Medien berichten zur Zeit über den iCloud Hack, doch was hat es genau mit dem Hack, der gar kein Hack im übertragenen Sinne war, auf sich? Gezielt wurden dabei die privaten und teilweise intimen Fotos von Prominenten abgegriffen. Ich hab mir das Konzept einmal angeschaut.
iBrute
Apple bot Angreifern die Möglichkeit, beliebig oft Passwörter zu allen möglichen Accounts auszuprobieren. Dass dabei über kurz oder lang Volltreffer gelingen, ist klar. @hackappcom hat ein sogenanntes „Proof Of Concept“ Script namens iBrute auf GitHub veröffentlicht. Proof of Concept bedeutet, dass mit diesem Script die Schwachstelle nach gewiesen wurde. Ein effizientes Ausnutzen dieser ist ohne Anpassungen aber nicht möglich. Dieses sehr kurze Script ist aber bereits ausreichend um Accounts mit schwachen Passwörtern zu knacken.
Wirklich gehackt wurde nichts
Für ein Unternehmen wie Apple ist es eine Katastrophe, dass bei einem Dienst, welcher die Apple ID als Login nutzt, eine Bruteforce Absicherung nicht nur vernachlässigt sondern gänzlich vergessen wurde. @hackappcom hat mit seinem Proof Of Conecpt Script gleichzeitig eine Liste der 500 beliebtesten Apple Passwörter mitgeliefert, welche offenbart, wie viele unsichere Passwörter immer noch gewählt werden
Fazit
Zwar hat Apple die Sicherheit seines „Find my iPhone“ Dienst vernachlässigt und mal wieder die Probleme eines einzelnen Logins für alle Dienste bewiesen, andererseits kann Apple nicht für die Passwort-Politik seiner Nutzer haftbar gemacht werden. Wir empfehlen daher stets ein möglichst langes und kompliziertes Passwort für sensible Dienste zu nutzen. Darüber, wie man so eines erstellt, haben wir hier schon in der Vergangenheit gebloggt.
Dennoch hätte eine solche Schwachstelle nicht auftreten dürfen und Apple’s Informationspolitik den Nutzern gegenüber ist meiner Meinung nach höchst bedenklich. Seit wann diese ausgenutzt wurde lässt sich nicht mehr nachvollziehen, dementsprechend sollte jeder Apple-Nutzer auf Nummer sicher gehen und sein Passwort ändern. Richtige Kriminelle sammeln erst über Jahre riesige Datenbestände an Passwörtern und E-Mails, um sie später zu verkaufen. Im Gegensatz zu der Veröffentlichung intimer Fotos verschiedener Prominente kriegen wir davon gar nichts mit.
Noch ein Tipp für alle, die unbedingt Nacktfotos in der Cloud speichern möchten. Mit HORNETDRIVE liegen eure Daten verschlüsselt in der Cloud und sind somit vor solchen Hackangriffen sicher. HORNETDRIVE gibt es natürlich auch für das iPhone 😀