Apple zu Promi-Nacktbilder: Keine iCloud-Sicherheitslücke, sondern gezielter Angriff

Apple äusserte sich in einer Mitteilung zum Hack, der zur Veröffentlichung von hunderten Nackbildern von Promis führte. Laut dem Unternehmen wurde dabei keine Sicherheitslücke in iCloud ausgenutzt, sondern gezielt die Benutzerkonten der Promis angegriffen.

Stefan Rechsteiner

In einer Mitteilung informiert Apple über die ersten Ergebnisse der internen Untersuchung zum angeblichen iCloud-Hack, durch welchen Anfang Woche hunderte Nacktbilder und private Aufnahmen von hauptsächlich jungen weiblichen US-Promis veröffentlicht wurden. Laut Apple sei keine Sicherheitslücke in iCloud bzw. Find my iPhone schuld an dem Diebstahl — vielmehr sei es ein «sehr gezielter Angriff auf die Benutzer-Namen, Passwörter und Sicherheitsfragen» der entsprechenden Promi-Konten gewesen.

Genaue Details wie die Kriminellen die Benutzerkonten der VIPs übernahmen, nennt das Unternehmen bisher keine. Laut Recherchen vom Wired-Journalist Andy Greenberg dürften die Hacker eine spezielle Software benutzt haben, die zur Gesetzesvollstreckung für Regierungsbeamte entworfen wurde. Die Software namens «ElcomSoft Phone Password Breaker», kurz EPPB, könne durch die Eingabe von Benutzername und dazu passendem Kennwort den Zugriff auf ein komplettes iPhone- oder iPad-Backup bieten. Greenberg fand auf einem Imageboard, auf welchem erste Nacktaufnahmen von Promis auftauchten eine offene Diskussion, auf welcher sich die Hacker über die Methoden unterhielten, wie sie die Bilder aufspüren konnten. Dabei wurde EPPB genannt.

Ein von Wired befragter Sicherheitsexperte will in den Metadaten der veröffentlichten Bilder auch Verweise auf die Nutzung von ElcomSofts Software gefunden haben. Auch will der Sicherheitsexperte Hinweise auf das Script, welches die nun geschlossene Sicherheitslücke in Find my iPhone ausnutzte gefunden haben. Laut Apple scheint diese aber nicht ausgenutzt worden zu sein.

Wie TechCrunch erwähnt, hätte auch die 2-Wege-Authentifizierung in diesem Falle nichts genützt, denn sowohl die iCloud-Backups wie auch der «Photo Stream» werden nicht durch diese Sicherheitsschranke geschützt, sondern einzig durch Benutzername und das dazugehörige Passwort. Bereits im Mai 2013 wies der CEO von ElcomSoft darauf hin, dass die iCloud-Backups nicht zusätzlich durch die 2-Wege-Authentifizierung geschützt seien.

1 Kommentar

Kommentar von sierra

Die Behauptung von Apple ist alles andere als überzeugend. Der ElcomSoft Passwort Breaker prüft pro Sekunde 50’000 Passwörter eine gute Grafikkarte vorausgesetzt. Die iCloud ist konzeptionell zuwenig abgesichert auch weil man alles trivial synchronisieren will. z.B sollte für jeden Login Versuch ein Captcha ausgefüllt werden.

Anmelden um neue Kommentare zu verfassen

Allegra Leser! Nur angemeldete Nutzer können bei diesem Inhalt Kommentare hinterlassen. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.