Categories: Cloud

Apple schließt Sicherheitslücke in iCloud

Apple hat eine Schwachstelle im Authentifizierungsprozess von iCloud behoben. Das geht aus der Beschreibung eines kurz vor dem Wochenende veröffentlichten Brute-Force-Tools hervor. Mit iDict war es möglich, das Passwort eines beliebigen Apple-Kontos zu hacken. Hierfür musst man lediglich den Kontonamen in die Eingabemaske des Programms eingeben. Offenbar umging das Tool Apples Schutzmechnismus, wonach die mehrfache Eingabe eines ungültigen Kennworts zur Sperrung des Kontos führt. Selbst eine aktivierte Zwei-Faktor-Authentifizierung hebelte iDict aus.

Welche Fehler das Programm genau ausgenutzt hat, ist nicht bekannt. Der Entwickler mit dem Handle „pr0x13“ machte darüber keine Angabe. Nach eigenem Bekunden hat er Apple über die Schwachstelle informiert.

Durch die Veröffentlichung von Nacktfotos im Herbst 2014 geriet iCloud schon einmal in die Schlagzeilen. Seinerzeit hatten sich Hacker mithilfe des Crackertools iBrute Zugangsdaten von iCloud-Konten verschafft. Mit dem für forensische Zwecke gedachten Programm EPPB konnten sie mit dem Konto verbundene Daten herunterladen.

In der Folge hat Apple die Sicherheit für den Zugriff auf iCloud-Daten schrittweise erhöht. Zunächst aktivierte es die Zwei-Faktor-Authentifizierung und verschärfte diese Schutzmaßnahme wenig später, indem für Dritthersteller-Programme wie Thunderbird die Eingabe eines anwendungsspezifischen Passworts gefordert wurde. Dadurch wird sichergestellt, dass das primäre Apple-ID-Passwort nicht von Drittanbieter-Programmen erfasst und gespeichert wird.

Die Zwei-Faktor-Authentifizierung ist standardmäßig allerdings nicht aktiv. Um sie nutzen zu können, müssen Apple-Anwender unter Meine Apple-ID den Dienst, der im Apple-Jargon “zweistufige Bestätigung” genannt wird, einschalten. Außerdem benötigt Apple für die Aktivierung des Dienstes volle drei Tage. Mit “Sicherheitsgründen” erklärt der Apple-Support diese Wartezeit in seiner Bestätigungs-Mail, die er wiederum “zur Sicherheit an alle in Ihrem Account hinterlegten E-Mail-Adressen” sendet.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Mit dem kurz vor dem Wochenende veröffentlichten Tool iDict konnte das Passwort eines beliebigen Apple-Kontos geknackt werden (Screenshot: ZDNet.de).

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Share
Published by
Kai Schmerer
Tags: Cloud-ComputingSecure-ITSicherheit
10 Jahren ago

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Tag ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

1 Tag ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

2 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

2 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

2 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

3 Tagen ago