Apple schließt kritische Lücke bei der Passwort-Wiederherstellung

Apple hat eine kritische Sicherheitslücke beseitigt, die Angreifern die einfache Rücksetzung von Passwörtern für Apple-ID-Konten erlaubte. Sie mussten dafür lediglich die E-Mail-Adresse und das Geburtsdatum des Nutzers kennen. Durch eine spezielle URL ließ sich die eigentlich ebenfalls erforderliche Sicherheitsfrage umgehen.

Die ersten Berichte über das Problem wurden am 22. März veröffentlicht. Der iPhone-Hersteller reagierte daraufhin relativ schnell und versetzte die Passwort-Rücksetzung in den Wartungsmodus, um weitere Rücksetzungen und die mögliche Übernahme von Konten zu verhindern. „Apple nimmt die Privatsphäre der Kunden sehr ernst“, erklärte ein Apple-Sprecher gegenüber News.com. „Wir sind uns dieses Problems bewusst und arbeiten an seiner Behebung.“

Vor dem Exploit schütze die optionale Zwei-Faktor-Authentifizierung, die Apple in Deutschland aber noch nicht anbietet (Bild: Jason Cipriani / CNET.com)

Offenbar nicht von dem Exploit betroffen waren Nutzer, die sich bereits für die eben erst von Apple für die Nutzer von iCloud und Apple ID eingeführte Zwei-Faktor-Authentifizierung entschieden hatten. Sie erfordert für die Verwaltung der Apple ID – und insbesondere das Zurücksetzen des Passworts – neben dem Passwort einen vierstelligen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird. Die Eingabe von Passwort und dem jeweiligen Bestätigungscode ist auch erforderlich, wenn Käufe über iTunes, Apples App Store oder iBookstore von einem neuen Gerät aus getätigt werden. Diese Zwei-Faktor-Authentifizierung ist jedoch in den meisten Ländern, darunter auch in Deutschland, noch gar nicht verfügbar.

Apple konnte die Sicherheitslücke noch am gleichen Tag schließen und hat die Rücksetzung vergessener Passwörter inzwischen wieder aktiviert. Tests von The Verge und iMore, die zuerst über das Problem berichteten, bestätigen seine Behebung.

[mit Material von Josh Lowensohn, News.com]