Sicherheitslücke? Hacker überlisten iCloud und iOS Activation Lock
Hackern aus den Niederlanden und Marokko soll es in den letzten Wochen gelungen sein, das iOS-Sicherheitsmerkmal Activation Lock zu überlisten. Den Hackern war es angeblich möglich, ein gestohlenes iOS-Gerät ohne Kenntnis der Apple ID zu entsperren.
Die Funktion Activation Lock sollte im Normalfall unbefugten Nutzern davon abhalten, Zugriff auf ein gesperrtes iOS-Gerät zu gewähren. Wenn das iOS-Gerät aus der Ferne gesperrt wird, muss die Apple ID sowie das dazugehörige Passwort eingegeben werden, um das Gerät wieder zu entsperren — auch wenn dieses zurückgesetzt wird.
Den Hackern aus den Niederlanden und aus Marokko soll es nach mehrmonatiger Arbeit gelungen sein, den Sicherheitsmechanismus von Activation Lock zu umgehen. Die Hacker sollen in der Lage sein, ein gesperrtes iPhone ohne Kenntnis der Apple ID zu entsperren. Zudem sollen sie auch in der Lage sein, auf das Passwort für die Apple ID zuzugreifen. Damit könnten sich die Hacker Zugriff auf die persönlichen Daten des Nutzers verschaffen.
Hacker täuschen iOS-Gerät über Server-Identität
Für das Auffinden der Sicherheitslücke sollen die Hacker während Monaten die Kommunikation des iOS-Gerätes mit den Servern von iCloud studiert haben. Die Hacker fanden anschliessend einen Weg, wie sie dem iOS-Gerät vortäuschen konnten, dass es sich bei ihrem Computer um einen Server von Apple handelt. Damit schalteten sie sich in die Kommunikation zwischen den iCloud-Servern und dem iOS-Gerät ein. Das iOS-Gerät folgte anschliessend den Anweisungen des Hacker-Computers. Mit dieser Massnahme konnte die Funktion Activation Lock umgangen werden.
Wie überlisteten die Hacker Activation Lock?
Die Hacker machten keine genauen Angaben, wie sie den Sicherheitsmechanismus von Activation Lock umgehen konnten. Der lange Zeitraum für das Auffinden der Sicherheitslücke deutet allerdings darauf hin, dass es kein einfaches Unterfangen war.
Ersten Annahmen zufolge haben sich die Hacker eine SSL-Sicherheitslücke zu Nutze gemacht. Bei iTunes für Windows soll noch immer eine Sicherheitslücke vorhanden sein, bei welcher das Programm die SSL-Zertifikate nicht richtig überprüft. Dieselbe Sicherheitslücke hat Apple mit iOS 7.0.6 und OS X 10.9.2 im Februar geschlossen. Die Hacker gaben allerdings bekannt, dass sie bei ihrer Methode nicht diese Sicherheitslücke ausgenutzt haben.
Smartphone-Diebstähle als grosses Problem
Der Diebstahl wird von der Polizei als grosses Sicherheitsproblem betrachtet. In US-Grossstädten ist bei einer immer grösseren Zahl von Diebstählen ein Smartphone das Deliktsgut. Deshalb wird in Kalifornien ab dem Jahr 2015 ein sogenannter «Kill Switch» obligatorisch sein. Mit diesem Sicherheitsmechanismus soll das Smartphone unbrauchbar gemacht werden, wenn es gestohlen worden ist. Unklar ist, ob bereits Apples Activation Lock die gesetzlichen Vorgaben erfüllen wird.
Gönner-AboAb CHF 5.– im Monat
👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.