Apple hat die berichteten Angriffe auf die iCloud-Konten prominenter Schauspielerinnen bestätigt. Nach den bisherigen Ermittlungen sollen die Hacker jedoch durch gezielte Angriffe an die von ihnen veröffentlichten Nacktaufnahmen gekommen sein – und nicht durch Ausnutzung einer Schwachstelle in Apple-Systemen wie iCloud.
„Nach einer über 40-stündigen Untersuchung haben wir herausgefunden, dass bestimmte Konten von Prominenten kompromittiert wurden durch einen sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsabfragen, eine im Internet inzwischen leider nur zu verbreitete Praxis“, heißt es in einer Erklärung des iPhone-Herstellers. In keinem der untersuchten Fälle sei jedoch ein erfolgreicher Einbruch in Apples Systeme einschließlich iCloud oder dem Clouddienst Find My iPhone („Mein iPhone suchen“) durch Ausnutzung einer Schwachstelle erfolgt.
Das Unternehmen will außerdem weiterhin mit den Ermittlungsbehörden zusammenarbeiten, um die beteiligten Täter identifizieren zu helfen. „Wir waren schockiert, als wir von dem Diebstahl erfuhren, und haben sofort Apples Experten mobilisiert, um die Ursache herauszufinden. Die Privatsphäre und Sicherheit unserer Kunden ist für uns von größter Bedeutung.“ Zur Vermeidung solcher Angriffe empfiehlt Apple allen Nutzern, „immer ein starkes Passwort zu nutzen und Zwei-Faktor-Authentifizierung zu aktivieren“.
Den Angreifern war es gelungen, in mehr als 100 Konten von Stars einzubrechen und unter anderem Nacktfotos der Schauspielerinnen Michelle Keegan (Coronation Street), Jennifer Lawrence (Hunger Games), Kirsten Dunst (Spider Man) und der Sängerin Ariana Grande zu entwenden sowie in einschlägigen Foren wie 4chan zu veröffentlichen. Viele haben inzwischen die Echtheit der Aufnahmen bestätigt, aber Trittbrettfahrer scheinen auch Fälschungen zu veröffentlichen.
Obwohl Apple nach seinen bisherigen Erkenntnissen eine eigene Schwachstelle als Einfallstor ausschließt, bestreitet es nicht die verbreitete Vermutung, dass das veröffentlichte Material aus iCloud-Backups stammt. Mehrere Berichte beleuchten inzwischen eine halböffentliche Szene von Hackern, die sich auf das Entwenden von Nacktbildern spezialisiert haben – und auf die Apples iCloud eine besondere Anziehungskraft hat.
Sicherheitsberater Nick Cubrilovic beschreibt iCloud als beliebtestes Ziel, weil das iPhone anders als etwa Windows Phone standardmäßig für ein Backup der Bilder sorge. Ihm zufolge scheinen Apple-Konten auch besonders anfällig zu sein aufgrund der Passwortwiederherstellung, die in einzelne Schritte unterteilt ist und Angreifern nützliche Hinweise liefern kann. Er schlägt vor, die Wiederherstellung in einem großen Schritt durchzuführen, bei dem alle eingegebenen Daten auf einmal verifiziert werden – und der Nutzer keine spezifischen Fehlermeldungen erhält.
Wired berichtet von einer für Ermittlungsbehörden gedachten Software namens EPPB oder Elcomsoft Phone Password Breaker, die den Download sämtlicher Daten eines Opfers aus iCloud-Backups erlaubt. Zusammen mit Zugangsdaten, die etwa mit dem kürzlich veröffentlichten Crackertool iBrute zu bekommen waren, konnte demnach jeder mit EPPB das iPhone eines Opfers vortäuschen und das gesamte Backup herunterladen – und nicht nur die in begrenzterem Umfang zugänglichen Daten auf iCloud.com. „Hacke ihr Passwort mit dem Skript – und setze eppb für den Download des Backups ein“, empfahl ein anonymer Nutzer im einschlägigen Forum Anon-IB. „Veröffentliche deine Beute hier ;-)“
Für Apple kommt die Debatte um die Sicherheit von iCloud zu einem besonders unangenehmen Zeitpunkt. Es steht kurz vor der Präsentation seiner neuen iPhone-Generation, die wahrscheinlich noch weit stärker auf den Cloud-Speicherdienst setzt. Es wird nächste Woche voraussichtlich auch einen NFC-gestützten Bezahldienst sowie sowie eine Smartwatch ankündigen, die Daten für seinen Gesundheitstracker HealthKit erfasst. Mit diesen Angeboten ist der iPhone-Hersteller erst recht auf das Vertrauen seiner Kunden in die Sicherheit von iCloud angewiesen.
Weitere Artikel zum Thema:
- Apple bestätigt Angriff auf Prominenten-Konten
- Sicherheitsforscher vermuten Lücke in iCloud-Backup
- Apple untersucht iCloud-Schwachstelle
- iCloud-Hack: Apple patcht “Find My iPhone”-Lücke
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
5 Kommentare zu Apple bestätigt Angriff auf Prominenten-Konten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
… ist das so? „Sicherheitsberater Nick Cubrilovic beschreibt iCloud als beliebtestes Ziel, weil das iPhone anders als etwa Windows Phone standardmäßig für ein Backup der Bilder sorge.“
Wenn ich die Cloud bei der Einrichtung nicht aktiviere, wird nichts (!) hochgeladen. Insofern ist diese Aussage missverständlich.
Vielleicht ist das hochladen der Fotos aktiviert, wenn man Cloud aktiviert, und die Optionen nicht überprüft/abschaltet, das kann ich nicht sagen, weil ich nicht weiss, ob ich die Option manuell abgeschaltet habe.
So pauschal geäussert, ist die Aussage aber wohl eher nicht richtig. Eine genauso pauschale Aussage, wie gestern vom anderen Experten, dass ein System unsicher ist, wenn der Anwender Fehler machen kann.
…wenn man die iCloud aktiviert ist der Fotostream tatsächlich standardmäßig aktiviert, auch das iCloud-Backup. Die Einstellung zur Ausstellung ist aber nicht sehr gut versteckt.
… dann habe ich das instinktiv deaktiviert …danke.
Apple sollte das umdrehen, d.h. per Standard deaktivieren, auch wenn dann viele meckern, es funktioniere nicht. Dann (!) aktivieren sie diese Funktion aber bewusst, und wissen (hoffentlich), dass sie das getan haben.
DANN … hat Apple als naechstes eine Sammelklage am Hals, weil John Doe und Lieschen Mueller das eben nicht getan haben. Dann ist ihr iPhone kaput gegangen und nun sind die Daten weg. Man haette sich zwar selber um ein Backup kuemmern muessen, aber man kennt es ja aus den USA – der Hersteller ist schuld… ;)
… meinerseits Verschwörungstheorien in die Welt setzen zu wollen, aber die zeitliche Nähe zum Event sollte zumindest im Hinterkopf behalten werden: „Für Apple kommt die Debatte um die Sicherheit von iCloud zu einem besonders unangenehmen Zeitpunkt. Es steht kurz vor der Präsentation seiner neuen iPhone-Generation, die wahrscheinlich noch weit stärker auf den Cloud-Speicherdienst setzt.“
Insbesondere, wenn diese Art von Datensammelei seit langem praktiziert wird, aber jetzt erst hoch kocht. Abwegig, aber nicht unrealistisch, dass jemand das zur Kursbeeinflussung nutzt.
Wie gesagt: wenn man mit Dreck beworfen wird, bleibt immer etwas kleben. Ob zurecht oder nicht.