Russicher Sicherheitsforscher knackt Apples iCloud-Protokoll

Vladimir Katalov, CEO des russischen Sicherheitsanbieters Elcomsoft, hat Apples proprietäre Protokolle für iCloud und Find My iPhone analysiert. Dabei stellte er fest, dass keines durch Apples Zwei-Faktor-Authentifizierung geschützt wird. Als Folge ist es möglich, ohne Wissen eines Nutzers dessen iCloud-Daten herunterzuladen.

Seine Erkenntnisse präsentierte Katalov in der vergangenen Woche auf der Konferenz Hack In The Box in Kuala Lumpur, Malaysia. Demnach ist Apple entgegen anderslautenden eigenen Angaben offenbar doch in der Lage, auf Informationen und Daten seiner Nutzer zuzugreifen. Ein Angreifer müsse zwar die Apple-ID und das Passwort eines Opfers kennen, um beispielsweise ein iCloud-Backup durchzuführen – dessen mit dem iCloud-Konto verbundenes iOS-Gerät werde aber nicht benötigt.

Katalov zufolge werden auf iCloud abgelegte Daten zwar verschlüsselt, der Schlüssel werde aber zusammen mit den Daten gespeichert. Zudem sei Apple im Besitz der Schlüssel. Zusätzlich zu diesen Schwachstellen in der Sicherheitskette habe er festgestellt, dass Apple iCloud-Daten auf Servern von Microsoft und Amazon speichere.

Da die Storage-Provider Amazon und Microsoft einen vollständigen Zugriff auf die Daten hätten, könne Apple die Daten auch Strafverfolgungsbehörden zur Verfügung stellen. In einer Stellungnahme zu den PRISM-Enthüllungen hatte der iPhone-Hersteller im Juli versichert, Regierungsbehörden keine Hintertür zu öffnen. „Apple gibt Strafverfolgern keinen Zugang zu seinen Servern.“

Katalov folgert aus seiner Analyse jedoch, dass dies zumindest möglich ist. Lädt ein Nutzer ein iCloud-Backup herunter, erhält er eine E-Mail, die ihn über den Abschluss des Vorgangs informiert. Erfolgt der Download jedoch nicht auf das Gerät des Nutzers, wird auch keine Benachrichtigung verschickt. Ruft also ein Dritter diese Daten ab, geschieht das ohne das Wissen des Nutzers.

Die Apple-Protokolle analysierte Katalov, indem er den HTTP-Datenverkehr von gejailbreakten Geräten abhörte. Die von ihm entdeckten Schwächen in den Protokollen beträfen aber auch Besitzer von nicht entsperrten iPhones und iPads. Durch einfache Abfragen sei es auch möglich, die Authentifizierungs-Tokens für den Zugriff auf ein iCloud-Backup, die Backup-IDs und die Schlüssel zu erhalten. Damit sei es wiederum möglich, die Dateien von Windows Azure oder Amazon AWS herunterzuladen.

Im Gespräch mit ZDNet USA sagte Katalov, bei den von ihm festgestellten Schwächen der Protokolle handele es sich nicht um Anfälligkeiten. Allerdings sei es nicht möglich, die Zwei-Faktor-Authentifizierung auf iCloud und Mein iPhone suchen auszuweiten. Apples Implementierung der Technik sei wahrscheinlich „nur ein nachträglicher Einfall“. Nutzer könnten sich nur schützen, indem sie auf iCloud verzichteten. Er selber nutze iCloud aber weiterhin als Backup-Dienst für seine iOS-Geräte.

Der Sicherheitsforscher Vladimir Katalov hat festgestellt, dass iCloud nicht durch Apples Zwei-Faktor-Authentifizierung geschützt wird (Bild: Violet Blue / ZDNet.com).

[mit Material von Violet Blue, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago