AppTestsss

News, Berichte und Videos rund um Apple, iPhone, iPad und Mac

AppTestsss -

Apple Support erlaubt Hackern die Übernahme eines iCloud-Accounts

 

iCloud ist ein großes Erfolgsmodell, das betont Apple immer wieder, die Entwicklung des Dienstes zeigt, in welche Richtung es gehen soll. Doch ist der Dienst auch sicher?

Als am Freitag der iCloud-Account des Wired-Journalisten Mat Honan gehackt wurde, sah zu Beginn alles nach einer Brute-Force-Attacke auf seinen iTunes-Konto oder den Diebstahl seiner Daten bei einem anderen, unsicheren Dienst aus, in einem Update seines Artikels stellt er jedoch, bestätigt durch Apple und den Hacker, klar, dass das Problem auf Apples Seite lag/ liegt. Dort hatten die Angreifer in einem Telefonat mit dem Support behauptet, der Besitzer der Apple-ID zu sein. Durch clevere Nutzung moderner Websuchmaschinen konnten sie die folgenden Sicherheitsabfragen ohne Probleme beantworten und erhielten komplette Kontrolle über den iTunes-Account – inklusive der Vergabe eines neuen Kennworts. In Folge dieses Angriffes löschten die Angreifer das iPhone, das iPad und das MacBook des Journalisten über „Find my iPhone“, übernahmen seine Twitter-Accounts und sein Gmail-Konto.

Ob der Fehler nun wirklich bei Apple lag, lässt sich final nicht klären. Das Unternehmen bestätigte zwar, dass das Zurücksetzen des Passworts mit ihrer Hilfe geschehen war, ob man deswegen jedoch die Schuld bei Apple suchen muss und darf, würde ich nicht unbedingt sagen. Einerseits ist die Möglichkeit, dass Passwort am Telefon zurücksetzen zu können bei einer drohenden Account-Übernahme ohne Passwort-Änderung durchaus sinnvoll, ob jedoch einfache Sicherheitsabfragen zu Zeiten von Twitter und Facebook noch ausreichen, ist eher fraglich. Wofür hat Apple meine Telefonnummer, meine Mail-Adresse und (teilweise) auch meine Konto-/ Kreditkarten-Daten, wenn ein Angreifer zum Ändern meines Passworts nur den Geburtsnamen meiner Mutter, meinen ersten eigenständigen Wohnort oder mein erstes Auto wissen muss? An diesem Punkt muss Apple dringend nachbessern.

Außerdem aufgefallen ist mir in diesem Zusammenhang, dass es (immer noch) nicht möglich, das Fernlöschen aller Daten zu deaktivieren, auch das Sperren durch einen Code kann nicht auf dem Gerät deaktiviert werden. Eventuell wäre hier eine weitere Möglichkeit in Sachen Sicherheit nachzubessern. Ich persönlich hatte bisher, zum Glück, noch keinen Bedarf „Find my iPhone“ in einer ernsten Situation einzusetzen, in einer solchen Situation wäre es mir trotzdem wichtig, mein iPhone orten zu können und dem Finder/ Dieb eine Nachricht anzeigen zu können, das Löschen wäre mir jedoch nicht unbedingt wichtig. Zumindest müsste Apple nach einer (4/8-stelligen) Pin fragen, deren falsche Eingabe das Löschen meines iPhones verhindert, das Passwort reicht zur Authentifizierung nicht. Auch die fehlende Möglichkeit, sowohl Backups in der iCloud wie auch auf der lokalen Festplatte zu speichern (manuell ist das zurzeit zwar bereits möglich, auf beiden Medien automatisch zu sichern wäre jedoch wünschenswerter), fällt in diesem Kontext eher negativ auf.

[Update]:

Wie The Next Web berichtet, hat Apple das Zurücksetzen des Passworts über das Telefon vorübergehend beendet, man verweist du Kunden auf die iForgot-Website.

We’ve temporarily suspended the ability to reset AppleID passwords over the phone. We’re asking customers who need to reset their password to continue to use our online iForgot system (iforgot.apple.com).

 

 

Kategorie: News

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *

*