Apple hat eine Schwachstelle im Clouddienst Find My iPhone („Mein iPhone suchen„) behoben, mit der Fremde auf persönliche Fotos von iCloud-Nutzern zugreifen konnten. Das meldet The Next Web. Zuvor war es aber Angreifern gelungen, in mehr als 100 Konten von Stars einzubrechen und unter anderem Nacktfotos der Schauspielerinnen Michelle Keegan (Coronation Street), Jennifer Lawrence (Hunger Games), Kirsten Dunst (Spider Man) und der Sängerin Ariana Grande zu entwenden sowie auf 4chan zu veröffentlichen.
Einen Tag zuvor war Proof-of-Concept-Code für einen Brute-Force-Angriff auf die Apple-ID bei GitHub eingestellt worden. Ein Zusammenhang ist zwar noch unbestätigt, aber wahrscheinlich. Angreifer benötigten lediglich den Usernamen des Kontos, der typischerweise aus der E-Mail-Adresse besteht.
Nach Apples Maßnahmen funktioniert der Angriffscode nicht mehr. Falls sich der Zusammenhang bestätigt, könnte der Ruf des Unternehmens – kurz vor der Vorstellung des iPhone 6 – beträchtlichen Schaden nehmen. Hacker dürften auf diese Weise auch Zugang zu anderen in iCloud gespeicherten Daten gehabt haben, von E-Mails bis zu Adressbucheinträgen und Terminen. Die Ausmaße sind noch nicht absehbar.
Schon im Mai hatten vor allem australische Nutzer in Apples Support-Foren von einem Angriff auf ihre iPhones, iPads und Macs berichtet, bei dem die Geräte gesperrt werden. Die unbekannten Hacker drohen damit, alle gespeicherten Daten zu löschen, sollten ihre Opfer nicht ein Lösegeld von 100 Dollar bezahlen.
Wahrscheinlich haben die Hacker Zugriff auf die Apple-ID-Anmeldedaten der betroffenen Nutzer erlangt. Damit konnten sie über den „Find My iPhone“-Service in Apples iCloud eine Passwortabfrage auf den Geräten einrichten und deren Besitzer somit aussperren. Dadurch waren diese nicht mehr in der Lage, auf ihr Gerät zugreifen oder es zurückzusetzen.
Im Jahr 2012 waren schon einmal die Schauspielerinnen Christina Aguilera und Scarlett Johansson Opfer eines iPhone-Hacks geworden. Der später als Hollywood-Hacker bezeichnete und auch verurteilte Christopher Chaney veröffentlichte in der Folge Nacktaufnahmen, die sie von sich selbst gemacht hatten.
Chaney hatte sich in der Mehrzahl der Fälle über die Funktion „Passwort vergessen“ Zugriff zu Mailkonten verschafft, indem er Sicherheitsabfragen mit öffentlich verfügbaren Informationen beantwortete. Nach eigener Aussage kam er so an tausende Mails der Prominenten, darunter auch Vertragsentwürfe.
[mit Material von Adrian Kingsley-Hughes, ZDNet.com]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
