Apple will Maßnahmen gegen Kontendiebstähle wie jüngst im Fall von über 100 Prominenten ergreifen. Künftig sollen eine Warnmail und eine Push-Benachrichtigung verschickt werden, wenn jemand ein Passwort ändern oder ein Konto mit einem neuen Gerät zu synchronisieren versucht, die ein sofortiges Eingreifen ermöglichen. Das hat CEO Tim Cook dem Wall Street Journal (WSJ) gesagt.
Bisher gab es nur die E-Mail-Benachrichtigung, und auch die wurde im Fall einer Datenwiederherstellung nicht verschickt – nur bei Passwortwechseln. Die Maßnahmen werden Cook zufolge etwa in zwei Wochen in Kraft treten.
Vergangenes Wochenende waren unbekleidete Selbstporträts einer Reihe von Hollywoodschauspielerinnen auf 4chan eingestellt worden. Fest steht, dass sie aus iCloud-Konten stammen. Wie die Unbekannten daran gelangten, ist unklar. Apple patchte zwar eine Lücke in seinem, Dienst „Find My iPhone„, die soll aber nicht für den Bilderklau verwendet worden sein.
Sicherheitsforscher haben inzwischen die Vermutung vorgebracht und mit Indizien belegt, dass ein Polizei-Tool für Brute-Force-Angriffe benutzt wurde. Apple selbst spricht von einem „sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsabfragen“. Unter anderem haben die Hacker in einigen Fällen wohl Sicherheitsabfragen wie die nach dem Mädchennamen der Mutter korrekt beantwortet, was sich im Fall Prominenter leicht recherchieren lässt. Das Apple-nahe Wall Street Journal, das als eine von wenigen Publikationen weltweit Apple-Geräte vorab zum „Test“ erhält, spricht in seinem aktuellen Bericht ohne weitere Erklärung von „Phishing“.
Cook sagte dem WSJ noch, es habe nicht an Apples Sicherheitsarchitektur gelegen, der Konzern hätte aber mehr tun können, um seine Kunden auf Gefahren hinzuweisen und sie etwa zum Einsatz starker Passwörter zu motivieren. „Wenn ich von dem schrecklichen Fall, der eingetreten ist, einen Schritt zurück mache und nachdenke, was hätten wir mehr tun können, fällt mit vor allem das Element Sicherheitsbewusstsein ein. Ich glaube, wir haben die Verantwortung, das zu verschärfen. Das ist eigentlich kein Problem der Entwicklung.“
Auch den Einsatz von Zwei-Faktor-Authentifizierung will Apple weiter intensivieren. Dabei kommt üblicherweise ein Einmalcode zum Einsatz, der von einem separaten Token oder einer Smartphone-App generiert wird, ein separates Gerät oder ein biometrisches Kennzeichen. Da die Methode auf iPhones zum Einsatz kommen soll, fällt die Möglichkeit Smartphone-App aus: Es würde sich nicht um einen zweiten Faktor handeln. Denkbar ist aber der verstärkte Einsatz des von Cook auch angesprochenen Fingerabdruckscanners Touch-ID – oder gar der eines Schmuckstücks, etwa einer iWatch, als externes Security-Token, das Transaktionen aller Art via NFC bestätigen könnte. Dies muss aber mindestens noch einige Tage Spekulation bleiben.
[mit Material von Steven Musil, News.com]
Weitere Artikel zum Thema:
- Bericht: Hacker nutzten Polizei-Tool für iCloud-Fotodiebstahl
- Apple bestätigt Angriff auf Prominenten-Konten
- Sicherheitsforscher vermuten Lücke in iCloud-Backup
- Apple untersucht iCloud-Schwachstelle
- iCloud-Hack: Apple patcht “Find My iPhone”-Lücke
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
16 Kommentare zu Apple-CEO Tim Cook verspricht verschärfte iCloud-Sicherheit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ich antworte mal auf Teil 2, peerh wird es sicher auch noch tun: was für eine unsinnige Frage – iklaut = wohl iCloud? Und die iCloud an sich ist sicher, keine der Daten ist einfach so aus der iCloud gestohlen worden. Sollten die Anmeldedaten durch Phishing erworben worden sein, wäre kein System sicher.
Was verbessert wurde, ist einerseits der Prozess bei „Find my Phone“, und der Anmeldeprozess bei der iCloud wird der Anmeldeprozess (2-Faktor-Auth) verbessert.
Ergo: ja, es gab Schwachstellen, und die wurden verbessert.
Indes hilft keines gegen Phishing, wenn der Anwender darauf hereinfällt.
Aber wo sind die Verbesserungen von Google für bestehende Nutzer, werden dadurch plötzlich alle Schwachstrllen beseitigt? Zur Erinnerung: fast monatlich werden Schwachstellen bekannt, die 50-100% der Android Geräte betreffen, und allgemeiner Tenor der ‚Experten‘ ist: wird nix passieren, interessiert Google nicht.
Zumal die 18 Monate Grenze, ab der Google den Mittelfinger streckt, ja m.E. nicht behoben wurde?
@Peter
Mir ist klar wie phishing funktioniert. Die Frage sollte zeigen, dass man es euch nicht recht machen kann.
Bringt Google keine Updates, heult ihr. Bringen sie welche, heißt es „ah die bringen Updates, also war und ist ihr System nicht sicher“… wie soll man solche Leute ernst nehmen?
… daher gleich zurück an Dich: „Dämliche Frage. Warum will apple die Sicherheit von der iklaut verstärken? War die etwa unsicher?“
So, so. Wie soll man das Ernst nehmen? ;-)
Du wirst immer kindischer. Macht keinen Sinn mehr mit dir zu diskutieren. Du nervst mit Lügen, kindischen Aktionen und sobald man eine Quelle für eine deine Lügen frägt, ist die Unterhaltung beendet. Ciao
… Du etwas konfus? Unterstellst Du dem WSJ und dem Experten eine konspirative Verschwörung zwecks Kursmanipulation am Wert der Apple Aktie?
Und wo hast Du gelesen, dass es „UNMÖGLICH“ für Apple sei, Bugs oder Fehler in seinen Produkten zu haben? Ausser Apple-Basher behauptet das niemand.
Der Unterschied zwischen Apple/iOS und Google/Android liegt darin, dass bei iOS Fehler schnell gefixed und ausgerollt werden, so dass schnell >90% der Anwender davon Nutzen haben – und bei Android entweder erst gar kein Fix erscheint, oder wenn, dann mitunter 50-90% der Anwender davon nie einen Nutzen haben werden, weil ihr System als ‚veraltet‘ deklariert wurde – und das Update nie beim Anwender ankommt.
Aber das willst Du ja nicht verstehen, und lügst Dir die Fakten zurech.
Ich meinte mit ‚ „Experten“ vom WSJ‘ die hunderten oder tausenden Sicherheitsexperten die dort arbeiten und sich Jahre lang mit dem Thema auseinandergesetzt haben.
Und weil das jetzt wieder etwas konfus für dich ist erkläre ich es dir. Ich habe ein sogenanntes Stilmittel verwendet, welches den Namen „Ironie“ trägt. Ich glaube nicht wirklich, dass das WSJ Artikel schreibende Sicherheitsexperten hat die sich mit der Materie einschlägig auskennen, was auch dadurch belegt wird, dass keine Begründungen für die Phishing-Vermutung abgegeben werden.
Sicherheitsforscher hingegen, die Indizien auf einen Brute Force Angriff gefunden haben, haben sehr wohl Begründungen dafür parat und außerdem setzen sie sich schon ewig mit solchen Themen auseinander.
Stell dir doch einfach die Frage: Wer würde davon profitieren wenn über Apples sicherheit positiv (oder zumindest nicht negativ) berichtet wird, und wer würde davon profitieren wenn negativ berichtet wird.
Positiv: Apple, Stakeholder (z.B. Aktienbesitzer), Hacker
Negativ: Im Grunde alle Apple Nutzer.
Wer hat positiv berichtet? Apple und WSJ u.A. (die garantiert keine Aktien von Apple haben {ACHTUNG hier ist wieder diese verflixte Ironie, die du nicht verstehst}). Ich bin nur skeptisch wenn Leute genau das berichten von dem sie profitieren. Da braucht man keine Verschwörung.
Zur Sicherheit von Apple wegen schneller Updates: Google lagert die meisten Funktionen von Android in Apps um. Die Apps können EXTREM schnell geupdated werden, egal welche Android Version man hat. Schaut man sich die iOS Nutzer an, die ABSICHTLICH noch mit älteren Versionen unterwegs sind weil denen diese Hoch gepriesenen 1-mal-im-Jahr Updates nicht gefallen, sind die wesentlich unsicherer unterwegs. Weißt du eigentlich wieviele Sicherheitslücken iOS im Vergleich zu Android hat?
… schon wieder die völlige Konfusion. Kleiner Tipp von mir: kurz fassen, dann klappt es auch mit einer sinnvollen Aussage. Dieses Geschwurbel ist doch völlig unverständlich.
Alles klar: „Die Apps können EXTREM schnell geupdated werden, egal welche Android Version man hat.“
Was Apple seit sieben (!) Jahren kann, das wird Google irgend wann mal, vielleicht bald, können – nur haben davon 1 Milliarde bestehender Nutzer nichts (!), und bisher hörte man ja von Android Fans (und vom Google CEO) stets, ‚Android ist sicher‘ – warum nun die Änderungen? ;-)
Und für Dich: 95% der iOS Anwender nutzen die aktuellste iOS 7 Version, und ab dem iPhone 4s und neuer werden sie auch iOS 8 nutzen klnnen – hingegen nur etwa 25% bei Android dazu in der Lage sind. Und ob und wieviele von Deinen „EXTREM“-Updates profitieren werden, steht in den Sternen.
Das bedeutet, dass etwa 75% der Android Geräte unsicherer Schrott sind – zwar nutzbar, aber wer Ahnung hat, nutzt sie mit einem mulmigen Gefühl. „Wird schon nichts passieren!“ ;-)
Einfach mal bei der Wahrheit und in unserer Welt bleiben, überlass die Paralleluniversen den Wissenschaftlern und der SciFi Industrie. ;-)
Sichheitsupdates erfolgen seit Juni über Google Play Services und kommen 100 Prozent aller Android-User zugute.
BTW: Jailbreaks ind viele Hacker-Wettbewerbe zeigen, dass iOS genauso sich bzw. unsicher ist, wie jedes andere Betriebssystem auch.
http://www.zdnet.de/88196954/google-io-sicherheitsupdates-fuer-android-erfolgen-ab-sofort-ueber-play-dienste/
… heile Welt? Alles ist gut? Hehehe, der war wirklich exquisit. Danke, ich hab dadurch heute erneut lachen dürfen. :-)
Und warum versucht Android durch das große ‚L‘ nun alles anders zu machen, wo es doch sicher ist? ;-]
@Faktenchecker
Gutes über Android und schlechtes über ios wird nicht gelesen. Hättest dir den link sparen können.
@ peerh
Dämliche Frage. Warum will apple die Sicherheit von der iklaut verstärken? War die etwa unsicher?
Sicherheitsforscher finden also Indizien für einen Brute Force Angriff (der übrigens unglaublich einfach abzuwehren ist), während die „Experten“ vom Wall Street Journal (die natürlich keinerlei Interesse am 4% drop des AAPL Kurses und den Verlust von 26 Mrd. haben, weil es ja auf der Wall Street nicht um Geld geht…) ohne Angabe von Gründen einfach auf Phishing verweist. Du – darf ich raten? MacHarry? – glaubst natürlich letzteren weil es ja UNMÖGLICH ist, dass Apple mal einen Fehler macht *hust* goto fail *hust*. Ich hoffe wirklich dass du iWallet -oder wie auch immer die es nennen werden – mit all deinem Vermögen benutzt und ebenfalls gehackt wirst. Aber selbst dann wirst du dem geliebten Apfel keinerlei Schuld zuweisen, weil der ist ja wie wir alle wissen unfehlbar… Get out of your bubble
Wenn Du Schlaumeier andere Beweise/Indizien hast, einfach ZdNet melden, die gehen dem gerne nach. Solange Du die nicht hast, ist das, was Du tust, Rufmord und polemisches Geschreibsel.
Also: wo sind Deine Fakten? Was macht Dich glauben, dass das Wall Street Journal lügt? Hast Du andere Indizien?
Dieses sinnlose Apple-Gebashe ist wirklich peinlich. Klar, die USA waren auch nicht auf dem Mond, die Titanic ist nie gesunken, die Vampiren sind unter uns – den Indizien zum trotz. ;-)
Und zum hundertsten Mal: ich bin NICHT MacHarry, auch wenn das Deine Welt enorm vereinfachen würde. Von den Kommentaren her gibt es mindestens vier ‚Namenlose‘, und Du wärst der fünfte. Also liegst Du auch da falsch.
@Redaktion: nur, weil Cook dem WSJ ein Interview gibt, dieses als „Apple-nah“ zu bezeichnen, dürfte ebenfalls fraglich sein. Insbesondere, da das WSJ in den letzten Jahren mehrfach mit Nachrichten aufkam, die Apple deutlich kritisiert haben.
Vielleicht bringt ihr einige Beispiele, die diese These stützen? Nur, weil Cook denen erneut ein Interview gab, ist dieser Begriff nicht wirklich angemessen – vielleicht schätzt er ihre neutrale Berichterstattung?
Mit diesem Kriterium wäre der Spiegel CDU-nah, oder die Springer-Presse wäre mitunter SPD-nah – beides wäre nicht wirklich wahr.
Dort steht doch dass sicherheitsforscher Indizien gefunden haben und das wsj hat NICHTS. Welche der beiden Seiten ist da glaubwürdiger? Du hast dich auf jeden Fall schon entschieden (lies dir deinen Kommentar noch mal durch). Ich weiß nicht was genau passiert ist, aber offensichtlich bist du der Meinung dass du es weißt, und du schlägst dich auf die Seite von Apple (die demnächst ein mobiles Bezahlsystem vorstellen und Artikel über schlechte Sicherheit mal garnicht brauchen können) und wsj (die einfach ohne Indizien von phishing ausgehen). Dass Apple tatsächlich seine Technologien miserabel absichern könnte scheint dir nicht mal im Traum einzufallen (obwohl das schon mehrfach der Fall war). Wer ist glaubwürdiger? Stakeholder oder Forscher?
… und nun mögen diejenigen, die wieder sofort (!) mit dem Finger auf Apple gezeigt haben, und sofort ‚wussten‘, dass der Angriff über die „Find my iPhone“ Funktion erfolgt ist, bitte zu Kreuze kriechen. Auch wenn das schwer fällt?
Das Stichwort heisst ‚Phishing‘. Einfach mal bei Wikipedia nachschauen. ;-)
Vorsichtige ‚Experten‘ haben nicht gleich mit Dreck geworfen, und die ‚Experten‘, die nun zurückrudern müssen, sollten sich ins Kämmerlein einschließen, und schämen.
Es wäre schön, würden die Medien in solchen Ereignissen erst einmal die Stellungnahmen abwarten, bevor sie Rufmord begehen. Und das meine ich bei ALLEN Vorfällen, nicht nur bei denen, die Apple betreffen.
Diese Vorverurteilungen helfen niemandem weiter, aber richten mitunter Schaden an.
(Danke, Kirsten Dunst! Und beim nächsten Mal nicht sofort auf irgendwelche Links klicken, sondern erst DENKEN. ;-))
Traurig, dass es Kirsten Dunst dafür gebraucht hat.
Besser wäre gewesen, man wäre von alleine darauf gekommen! ;)