Apple bestätigt Angriff auf Prominenten-Konten

Apple hat die berichteten Angriffe auf die iCloud-Konten prominenter Schauspielerinnen bestätigt. Nach den bisherigen Ermittlungen sollen die Hacker jedoch durch gezielte Angriffe an die von ihnen veröffentlichten Nacktaufnahmen gekommen sein – und nicht durch Ausnutzung einer Schwachstelle in Apple-Systemen wie iCloud.

„Nach einer über 40-stündigen Untersuchung haben wir herausgefunden, dass bestimmte Konten von Prominenten kompromittiert wurden durch einen sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsabfragen, eine im Internet inzwischen leider nur zu verbreitete Praxis“, heißt es in einer Erklärung des iPhone-Herstellers. In keinem der untersuchten Fälle sei jedoch ein erfolgreicher Einbruch in Apples Systeme einschließlich iCloud oder dem Clouddienst Find My iPhone („Mein iPhone suchen“) durch Ausnutzung einer Schwachstelle erfolgt.

Das Unternehmen will außerdem weiterhin mit den Ermittlungsbehörden zusammenarbeiten, um die beteiligten Täter identifizieren zu helfen. „Wir waren schockiert, als wir von dem Diebstahl erfuhren, und haben sofort Apples Experten mobilisiert, um die Ursache herauszufinden. Die Privatsphäre und Sicherheit unserer Kunden ist für uns von größter Bedeutung.“ Zur Vermeidung solcher Angriffe empfiehlt Apple allen Nutzern, „immer ein starkes Passwort zu nutzen und Zwei-Faktor-Authentifizierung zu aktivieren“.

Den Angreifern war es gelungen, in mehr als 100 Konten von Stars einzubrechen und unter anderem Nacktfotos der Schauspielerinnen Michelle Keegan (Coronation Street), Jennifer Lawrence (Hunger Games), Kirsten Dunst (Spider Man) und der Sängerin Ariana Grande zu entwenden sowie in einschlägigen Foren wie 4chan zu veröffentlichen. Viele haben inzwischen die Echtheit der Aufnahmen bestätigt, aber Trittbrettfahrer scheinen auch Fälschungen zu veröffentlichen.

Obwohl Apple nach seinen bisherigen Erkenntnissen eine eigene Schwachstelle als Einfallstor ausschließt, bestreitet es nicht die verbreitete Vermutung, dass das veröffentlichte Material aus iCloud-Backups stammt. Mehrere Berichte beleuchten inzwischen eine halböffentliche Szene von Hackern, die sich auf das Entwenden von Nacktbildern spezialisiert haben – und auf die Apples iCloud eine besondere Anziehungskraft hat.

Sicherheitsberater Nick Cubrilovic beschreibt iCloud als beliebtestes Ziel, weil das iPhone anders als etwa Windows Phone standardmäßig für ein Backup der Bilder sorge. Ihm zufolge scheinen Apple-Konten auch besonders anfällig zu sein aufgrund der Passwortwiederherstellung, die in einzelne Schritte unterteilt ist und Angreifern nützliche Hinweise liefern kann. Er schlägt vor, die Wiederherstellung in einem großen Schritt durchzuführen, bei dem alle eingegebenen Daten auf einmal verifiziert werden – und der Nutzer keine spezifischen Fehlermeldungen erhält.

Wired berichtet von einer für Ermittlungsbehörden gedachten Software namens EPPB oder Elcomsoft Phone Password Breaker, die den Download sämtlicher Daten eines Opfers aus iCloud-Backups erlaubt. Zusammen mit Zugangsdaten, die etwa mit dem kürzlich veröffentlichten Crackertool iBrute zu bekommen waren, konnte demnach jeder mit EPPB das iPhone eines Opfers vortäuschen und das gesamte Backup herunterladen – und nicht nur die in begrenzterem Umfang zugänglichen Daten auf iCloud.com. „Hacke ihr Passwort mit dem Skript – und setze eppb für den Download des Backups ein“, empfahl ein anonymer Nutzer im einschlägigen Forum Anon-IB. „Veröffentliche deine Beute hier ;-)“

Für Apple kommt die Debatte um die Sicherheit von iCloud zu einem besonders unangenehmen Zeitpunkt. Es steht kurz vor der Präsentation seiner neuen iPhone-Generation, die wahrscheinlich noch weit stärker auf den Cloud-Speicherdienst setzt. Es wird nächste Woche voraussichtlich auch einen NFC-gestützten Bezahldienst sowie sowie eine Smartwatch ankündigen, die Daten für seinen Gesundheitstracker HealthKit erfasst. Mit diesen Angeboten ist der iPhone-Hersteller erst recht auf das Vertrauen seiner Kunden in die Sicherheit von iCloud angewiesen.

Weitere Artikel zum Thema:

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago