Futter für staatliche Überwacher:
Black Hat zeigt iCloud-Schwachstelle
Bereits über sieben Monate liegt es zurück, dass der Sicherheitsforscher Alex Radocea einen fatalen Fehler im iCloud-Schlüsselbund gefunden und an Apple gemeldet hat. Nun hat Radocea im Rahmen der Black-Hat-Sicherheitskonferenz die Schwachstelle genau erläutert. Der Fehler wurde von Apple bereits durch verschiedene Updates behoben.
Wie wichtig die Sicherheitsaktualisierungen auch oder gerade für ältere Geräte sind, zeigt nun wieder einmal ein Beispiel, dass der Security-Spezialist Alex Radocea aufgedeckt hat. Es betrifft die Verifizierung von Geräten vor dem Zugriff auf das zentrale iCloud-Schlüsselbund von iOS und macOS. Ein Fehler bei der Prüfung ermöglichte es Unbefugte, sich als bereits genehmigte Geräte auszugeben und verschaffe ihnen so den Zugriff auf die Passwörter und persönlichen Daten, die im Schlüsselbund gespeichert sind. Das funktionierte zwar nur bei Accounts, die nicht per Zwei-Wege-Authentifizierung gesichert waren, dürfte aber eine Vielzahl an Nutzer betreffen. Außerdem sollen die Passwörter im Klartext auslesbar gewesen sein.
Wie lang die Schwachstelle bestand und ob sie auch aktiv ausgenutzt wurde, ist dabei nicht bekannt.
Um Zugriff über ein manipuliertes Geräte-Profil zu erlangen, hätten die Angreifer allerdings auch den Zugang zur iCloud des Opfers über Anmeldenamen und Passwort verfügen müssen.
Siehe auch: Gelöschte Notizen: Apple löscht sie gar nicht wirklich aus der iCloud
Download Cloudevo: Cloud-Dienste zu einem Speicher vereinen
Wichtig ist schnelles Handeln
Radocea zeigte den möglichen Angriff bei der diesjährigen Black-Hat-Sicherheitskonferenz. Sein Anliegen war es dabei aufzuklären, wie wichtig ein schnelles Auffinden solcher Bugs ist. Im Hinblick auf die Machenschaften der staatlichen Behörden (vorrangig in den USA) bedeuten solche Schwachstellen potentiell einen Jackpot für die Überwachung.Update nur für Geräte ab iPhone 5
Die Sicherheitslücke wurde nach der Meldung durch Radocea im März geschlossen. Apple hatte damals sowohl für iOS mit 10.3 als auch für macOS die Verifizierung der Geräte für die iCloud-Schlüsselbund-Anmeldung überarbeitet, so dass manipulierte Geräte-Profile wieder erkannt wurden. Laut der Nachrichtenseite Heise fehlt ein Update dagegen für ältere Geräte wie dem iPhone 4s.Wie lang die Schwachstelle bestand und ob sie auch aktiv ausgenutzt wurde, ist dabei nicht bekannt.
Um Zugriff über ein manipuliertes Geräte-Profil zu erlangen, hätten die Angreifer allerdings auch den Zugang zur iCloud des Opfers über Anmeldenamen und Passwort verfügen müssen.
Siehe auch: Gelöschte Notizen: Apple löscht sie gar nicht wirklich aus der iCloud
Download Cloudevo: Cloud-Dienste zu einem Speicher vereinen
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Gmail: Endlich dürfen deutsche User ihre Mail-Adresse ändern - So gehts
- App für Vorhersagen: Zuckerberg will Polymarket und Co. abkupfern
- Keine Kreditkarte mehr nötig: EC-Karte erhält neue praktische Features
- 436.000 Jobs: Rekord-Beschäftigung in der Erneuerbaren-Branche
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Galaxy Watch Ultra 2: Erste Render-Bilder zeigen das Design im Detail
- GTA 6: Preis ist nun bekannt, Box-Version kommt ohne Datenträger
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen