iCloud: Hacking-Tool ignoriert Apples Brute-Force-Schutzmaßnahmen

Am Freitag wurde auf GitHub ein neues Tool veröffentlicht, das es möglich machen soll, die Passwörter von iCloud- und Apple-ID-Accounts zu knacken. Das Tool tarnt sich dabei als verbundenes iPhone und umgeht Apples Sicherheitsmaßnahmen gegen ... mehr... Apple, Logo, Cloudsynchronisation, iCloud Bildquelle: Apple Apple, Cloudsynchronisation, iCloud Apple, Cloudsynchronisation, iCloud Apple

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Könnte nicht, gesteht man Apple einen Pluspunkt zu. Bei Microsoft hätte das jetzt eventuell bis zu 19 Jahre gedauert.
 
@Islander: Ja ja, das gute alte Derailing. Einfach umdrehen und mit den Fingern auf andere zeigen...
 
Das Auslesen von Passwörtern wird auch mit der "Zwei-Schritt-Authentifizierung für Apple IDs" nicht verhindert.

Was verhindert wird, dass man Änderungen - zum Beispiel am Passwort, am iCloud Schlüsselbund usw. - einfach so vornehmen kann. Hierzu braucht man einen Token (2. Gerät) zur Bestätigung oder aber alternativ einen Sicherheitsschlüssel (z.B. zum Zurücksetzen des Passworts). In diesem Punkt ist das Apple ID-System wohl wirklich am sichersten (im Vergleich zu Android und Windows).
 
@SteffenB: vielleicht verstehe ich deinen Kommentar auch falsch, aber Android (Google Konto) bzw. Windows (dann halt das Microsoft-Konto) bieten beide 2-Faktor-Authentifizierung an, die genauso schützt wie bei Apple
 
@Chrissik: es ging um die Kombination mit anderen Geräten als Token + Sicherheitsschlüssel

Beispiel: wenn ich das Passwort ändern oder den Schlüsselbund aktivieren will muss ich dies an einem anderen mit dem Account verknüpften Gerät bestätigen. Das kann dann beim iPhone ein Mac, ein iPad oder ein anderes iPhone sein. Der Sicherheitsschlüssel, den ich eingeben muss, um mein Passwort zurückzusetzen ist nicht (wie bei Microsoft) eine Kombination aus Zahlen, sondern 2-4-4-4 Buchstaben und Zahlen.

Darüber hinaus kann man pro App ein "unsichtbares" Passwort hinterlegen, so dass das iCloud-Passwort gar nicht verwendet wird.

Außerdem funktioniert dies - im Gegensatz zu MS - auch bei mehreren verknüpften Konten.
 
@SteffenB: Funktioniert doch beim MS Account genauso und die Sicherheit eines Einmalpassworts ist bei einer 6-8 stelligen Kennwort so oder so gegeben (dein Beispiel Passwort ändern oder neues gerät verknüpfen oder oder oder)

Die 2 nachfolgenden verstehe ich nicht, weder das mit dem app Passwort, noch mit dem verknüpften account (kann man überhaupt apple ids verknüpfen?)
 
@0711: es geht nicht um ein Einmalpasswort, sondern einen 14-stelligen Wiederherstellungsschlüssel.

Darüber hinaus sprach ich vor allem von der Token-Lösung, die sehr gut funktioniert.
 
@SteffenB: die Kombination mit "einmalpasswort" (token) gibt's doch identisch auch bei MS?! und soweit ich weiß auch bei google

Wiederherstellung hab ich noch nie gemacht läuft doch aber auch über die Telefonnummer oder ein als vertrauenswürdig hinterlegtes mailkonto ab, dazu gibt es diverse abfragen zu Details deines accounts. Je nachdem was du angegeben hast (angeben konntest) kannst du dein Kennwort zurücksetzen oder du wirst etwas später von einem MS mensch kontaktiert...je nachdem haste dann auch Pech gehabt.
 
@0711: das von Dir beschriebene gibts natürlich bei Apple auch. Sicherheitsfragen und Co. Nützt nur nix, wenn Dein Passwort schon geknackt wurde, ist also nicht besonders sicher.

Der Token-Prozess -zur Verdeutlichung läuft so: Du willst z.B. auf dem iPhone Dein Passwort für die iCloud ändern. 1) Passwort ändern klicken) 2 Aktuelles PW eingeben, 3) Du erhältst eine Liste mit autorisierten Geräten, die als Token für eine Bestätigung fungieren und wählst eines aus, 4) Du meldest sich mit Sicherheitscode oder Fingerabdruck (wenn der Token ein anderes iPhone oder iPad ist) oder mit Passwort (bei Mac als Token) an, 5) Du erhältst den Sicherheitscode, 6) du gibst den Sicherheitscode ein.
 
@SteffenB: zu den Sicherheitsfragen kommst du ja nur wenn du auf eines deiner 2. Kontaktmöglichkeiten zugriff hast (Telefon und/oder alternative mailadresse)...erst danach gibt's die fragen ;)

Das mit dem Token Prozess läuft bei MS so:
- Du willst das Passwort des MS Account ändern
- Du wirst nach deinem alten Passwort gefragt
- Du wirst nach einem Einmalpasswort (Code)) gefragt, diesen kannst du wie folgt beziehen
1. Authorisiertes Gerät -> z.B. Handyapp (Authenticator App)
2. SMS (Nummer muss bereits in deinem Account hinterlegt sein, einfach eine andere Nummer hinterlegen geht nicht)
3. Anruf (dito sms)
- Du gibst den Code ein ein
- Du vergibst ein neues Passwort

Ich sehe da beim Ablauf keinen ernsthaften unterschied.
 
@0711: folgendes Szenario - bei meiner Frau schon ein paar Mal vorgekommen: Du findest Dein Smartphone nicht, willst es aber nicht gleich sperren oder löschen (was bei Apple ja nur ein Knopfdruck wäre), sondern erst einmal bei Freunden nachfragen, wo du in den vergangenen 1,2 Tagen warst. Trotzdem willst Du das Passwort ändern:

Handy App (unglaublich, dass man überhaupt eine App braucht) geht nicht - Handy ist weg, SMS - auch witzlos - Handy ist weg. Bleibt: PC als Token. Bei iCloud kein Problem. Wie machst Du das?
 
@SteffenB: Wenn ich einen PC als Vertrauenswürdig eingerichtet habe kann ich das von dem aus
Ansonsten geht auch eine Festnetznummer (anruf) und den Code kann ich mir auch an eine andere Mailadresse senden lassen wenn ich das für sinnvoll erachte. Voraussetzung natürlich immer, ich hab das vorher eingerichtet. Habe ich keine alternativen eingerichtet geht das natürlich nicht.

Sollte mein Handy nicht leer sein kann ich ja über den MS Account nachschauen wo mein Handy ist (und es auch löschen und/oder erst mal nur sperren - auch mit einem neuen code wenn es beliebt).

Zusätzlich werde ich auch per Mail (immer mindestens an den Account der geändert wird) als auch per SMS oder zusätzlicher Mail an eine dritte Adresse über jede Änderung benachrichtigt. Ungewöhnliche Kontoaktivitäten werden so auch gemeldet.
 
@0711: gut. dann sag ich nix mehr, dann geht bei MS endlich auch fast alles, was bei Apple seit Jahren geht.

Unterscheiden sich dann in den Sicherheitsmerkmalen kaum noch - ist doch gut so!
 
@SteffenB: ich will da jetzt nicht drauf rumreiten aber meines wissens hatte das apple nicht unbedingt wirklich vor MS (~anfang 2013 oder wars mit Einführung von 8? weiß nicht mehr)
http://venturebeat.com/2013/03/21/apple-two-factor-authentication/ und zwischendrin wars ja auch mal weg http://www.idownloadblog.com/2014/09/16/icloud-using-two-factor-auth/

Gut dass die Anbieter sowas inzwischen haben ist es so oder so
 
@0711: Lass man stecken. Entweder Apple kann's besser, oder sie haben's erfunden. Man kann das Marketing nur bewundern ^^
 
@cgd:
Ein paar Daten zur einführung.

Google 2011
Apple 2014
Microsoft 2013

Ich sag mal so, Google hat in Punkte sicherheit eine Vorreiterrolle
 
Wurde nicht schon seit den Bildern der Promis ein Limit gesetzt, damit Brute Force Attacken nicht mehr möglich sind?
Was macht das Tool denn anders? No goto fail?! Aber gut, dass Apple so schnell reagiert hat. Wenn jetzt aber noch ein Tool kommt, womit ein BF-Angriff möglich ist, würde ich die ganze Geschichte umschreiben, da dann wohl ein systematischer Fehler vorliegt...aber warten wir mal lieber ab.
 
@Chosen_One: fast wie bei ios, die ganzen untethered jailbreak lücken lassen auch bruteforce aufs System zu/den Schlüsselbund zu. Scheint eine gewisse Tradition zu besitzen
 
Die Überschrift ist doch inhaltlich falsch, oder? Ein Hacking-Tool, dass Schutzmaßnahmen ignoriert ist doch ziemlich schlecht?!
 
@tann: hm? Was ist denn falsch, ja natürlich ist es schlecht aber eher dass es diese Möglichkeit (von aussen) gibt anstatt dass es ein tool gibt das es zeigt
 
na mal sehn wie lange es dauert bis wir wieder Promikörper biologisch betrachten können^^
 
@legalxpuser: jedenfalls ist hier eindeutig der hersteller zu verantworten. hatte erst neulich 2 winphone-user denen nicht bewusst war, dass alle fotos automatisch bei skydrive hochgeladen werden, bzw. denen diese feature herzlich egal ist. bzw. mich beauftragt haben, von ihrem alten telefon die fotos rüberzuspielen. bei den neuen phones wurde natürlich ein neuer account angelegt im unwissen, dass skydrive alle fotos nun online speichert.
 
@krusty: da wird bei der wp ersteinrichtung aber doch schon ziemlich deutlich gefragt. Die leute lesen einfach nicht was sie tun, das ist ein großes Problem und es gibt zwei wege
- sie nutzen Features nicht die sie evtl nutzen würden
- sie nutzen Features die sie nicht nutzen (wollen)

Ersteres ist für die Dienstanbieter natürlich die attraktivere Voreinstellung

Generell ist das aber natürlich ein Risiko aber "vor sich selbst schützen" kann man die user auch nicht komplett
 
...Apple und die Sicherheit... MUAHAHA ;-)
Kommentar abgeben Netiquette beachten!

Apples Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

iPad im Preisvergleich