Apple hat die berichteten Angriffe auf die iCloud-Konten prominenter Schauspielerinnen bestätigt. Nach den bisherigen Ermittlungen sollen die Hacker jedoch durch gezielte Angriffe an die von ihnen veröffentlichten Nacktaufnahmen gekommen sein – und nicht durch Ausnutzung einer Schwachstelle in Apple-Systemen wie iCloud.
„Nach einer über 40-stündigen Untersuchung haben wir herausgefunden, dass bestimmte Konten von Prominenten kompromittiert wurden durch einen sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsabfragen, eine im Internet inzwischen leider nur zu verbreitete Praxis“, heißt es in einer Erklärung des iPhone-Herstellers. In keinem der untersuchten Fälle sei jedoch ein erfolgreicher Einbruch in Apples Systeme einschließlich iCloud oder dem Clouddienst Find My iPhone („Mein iPhone suchen“) durch Ausnutzung einer Schwachstelle erfolgt.
Das Unternehmen will außerdem weiterhin mit den Ermittlungsbehörden zusammenarbeiten, um die beteiligten Täter identifizieren zu helfen. „Wir waren schockiert, als wir von dem Diebstahl erfuhren, und haben sofort Apples Experten mobilisiert, um die Ursache herauszufinden. Die Privatsphäre und Sicherheit unserer Kunden ist für uns von größter Bedeutung.“ Zur Vermeidung solcher Angriffe empfiehlt Apple allen Nutzern, „immer ein starkes Passwort zu nutzen und Zwei-Faktor-Authentifizierung zu aktivieren“.
Den Angreifern war es gelungen, in mehr als 100 Konten von Stars einzubrechen und unter anderem Nacktfotos der Schauspielerinnen Michelle Keegan (Coronation Street), Jennifer Lawrence (Hunger Games), Kirsten Dunst (Spider Man) und der Sängerin Ariana Grande zu entwenden sowie in einschlägigen Foren wie 4chan zu veröffentlichen. Viele haben inzwischen die Echtheit der Aufnahmen bestätigt, aber Trittbrettfahrer scheinen auch Fälschungen zu veröffentlichen.
Obwohl Apple nach seinen bisherigen Erkenntnissen eine eigene Schwachstelle als Einfallstor ausschließt, bestreitet es nicht die verbreitete Vermutung, dass das veröffentlichte Material aus iCloud-Backups stammt. Mehrere Berichte beleuchten inzwischen eine halböffentliche Szene von Hackern, die sich auf das Entwenden von Nacktbildern spezialisiert haben – und auf die Apples iCloud eine besondere Anziehungskraft hat.
Sicherheitsberater Nick Cubrilovic beschreibt iCloud als beliebtestes Ziel, weil das iPhone anders als etwa Windows Phone standardmäßig für ein Backup der Bilder sorge. Ihm zufolge scheinen Apple-Konten auch besonders anfällig zu sein aufgrund der Passwortwiederherstellung, die in einzelne Schritte unterteilt ist und Angreifern nützliche Hinweise liefern kann. Er schlägt vor, die Wiederherstellung in einem großen Schritt durchzuführen, bei dem alle eingegebenen Daten auf einmal verifiziert werden – und der Nutzer keine spezifischen Fehlermeldungen erhält.
Wired berichtet von einer für Ermittlungsbehörden gedachten Software namens EPPB oder Elcomsoft Phone Password Breaker, die den Download sämtlicher Daten eines Opfers aus iCloud-Backups erlaubt. Zusammen mit Zugangsdaten, die etwa mit dem kürzlich veröffentlichten Crackertool iBrute zu bekommen waren, konnte demnach jeder mit EPPB das iPhone eines Opfers vortäuschen und das gesamte Backup herunterladen – und nicht nur die in begrenzterem Umfang zugänglichen Daten auf iCloud.com. „Hacke ihr Passwort mit dem Skript – und setze eppb für den Download des Backups ein“, empfahl ein anonymer Nutzer im einschlägigen Forum Anon-IB. „Veröffentliche deine Beute hier ;-)“
Für Apple kommt die Debatte um die Sicherheit von iCloud zu einem besonders unangenehmen Zeitpunkt. Es steht kurz vor der Präsentation seiner neuen iPhone-Generation, die wahrscheinlich noch weit stärker auf den Cloud-Speicherdienst setzt. Es wird nächste Woche voraussichtlich auch einen NFC-gestützten Bezahldienst sowie sowie eine Smartwatch ankündigen, die Daten für seinen Gesundheitstracker HealthKit erfasst. Mit diesen Angeboten ist der iPhone-Hersteller erst recht auf das Vertrauen seiner Kunden in die Sicherheit von iCloud angewiesen.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…