Futter für staatliche Überwacher: Black Hat zeigt iCloud-Schwachstelle

Apple, iOS, Cloud, Cloudsynchronisation, iCloud Bildquelle: Apple
Bereits über sieben Monate liegt es zurück, dass der Sicherheitsforscher Alex Radocea einen fatalen Fehler im iCloud-Schlüsselbund gefunden und an Apple gemeldet hat. Nun hat Radocea im Rahmen der Black-Hat-Sicherheitskonferenz die Schwachstelle genau erläutert. Der Fehler wurde von Apple bereits durch verschiedene Updates behoben. Wie wichtig die Sicherheitsaktualisierungen auch oder gerade für ältere Geräte sind, zeigt nun wieder einmal ein Beispiel, dass der Security-Spezialist Alex Radocea aufgedeckt hat. Es betrifft die Verifizierung von Geräten vor dem Zugriff auf das zentrale iCloud-Schlüsselbund von iOS und macOS. Ein Fehler bei der Prüfung ermöglichte es Unbefugte, sich als bereits genehmigte Geräte auszugeben und verschaffe ihnen so den Zugriff auf die Passwörter und persönlichen Daten, die im Schlüsselbund gespeichert sind. Das funktionierte zwar nur bei Accounts, die nicht per Zwei-Wege-Authentifizierung gesichert waren, dürfte aber eine Vielzahl an Nutzer betreffen. Außerdem sollen die Passwörter im Klartext auslesbar gewesen sein.


Wichtig ist schnelles Handeln

Radocea zeigte den möglichen Angriff bei der diesjährigen Black-Hat-Sicherheitskonferenz. Sein Anliegen war es dabei aufzuklären, wie wichtig ein schnelles Auffinden solcher Bugs ist. Im Hinblick auf die Machenschaften der staatlichen Behörden (vorrangig in den USA) bedeuten solche Schwachstellen potentiell einen Jackpot für die Überwachung.

Update nur für Geräte ab iPhone 5

Die Sicherheitslücke wurde nach der Meldung durch Radocea im März geschlossen. Apple hatte damals sowohl für iOS mit 10.3 als auch für macOS die Verifizierung der Geräte für die iCloud-Schlüsselbund-Anmeldung überarbeitet, so dass manipulierte Geräte-Profile wieder erkannt wurden. Laut der Nachrichtenseite Heise fehlt ein Update dagegen für ältere Geräte wie dem iPhone 4s.

Wie lang die Schwachstelle bestand und ob sie auch aktiv ausgenutzt wurde, ist dabei nicht bekannt.

Um Zugriff über ein manipuliertes Geräte-Profil zu erlangen, hätten die Angreifer allerdings auch den Zugang zur iCloud des Opfers über Anmeldenamen und Passwort verfügen müssen.

Siehe auch: Gelöschte Notizen: Apple löscht sie gar nicht wirklich aus der iCloud

Download Cloudevo: Cloud-Dienste zu einem Speicher vereinen Apple, iOS, Cloud, Cloudsynchronisation, iCloud Apple, iOS, Cloud, Cloudsynchronisation, iCloud Apple
Diese Nachricht empfehlen
Kommentieren18
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden