Apple schließt Sicherheitslücke in iCloud nach dem Hack und der Veröffentlichung von Promi-Fotos

Am Tag nach der Veröffentlichung privater und nackter Fotos von Schauspielerin Jennifer Lawrence und anderen Hollywood-Promis, hat Apple Berichten zufolge eine Sicherheitslücke geschlossen, die es Hackern ermöglicht hätte, auf iCloud-Konten zuzugreifen.

Es wurde berichtet, dass die Schwachstelle auf der Code-Hosting-Seite Github aufgedeckt wurde. Dort heißt es, dass Entwickler entdeckt haben, dass Apples „ Mein iPhone suchen “-Funktion durch sogenannte Brute-Force-Angriffe gefährdet sein könnte, bei denen Passwort für Passwort ausprobiert wird, bis das richtige gefunden wird, um ein Konto zu entsperren. Von dort aus hätten die Hacker möglicherweise die Apple-ID eines Nutzers herausfinden und auf dessen iCloud-Speicher zugreifen können. Github sagt, Apple habe das Problem behoben.

Es ist jedoch unklar, ob dies die gleiche oder die einzige Sicherheitsanfälligkeit ist, die es Hackern ermöglichte, die Fotos von Lawrence und 20 anderen Hollywood-Promis zu stehlen.

Wie in unserem früheren Beitrag erwähnt, scheinen einige der Fotos von verschiedenen Geräten zu stammen und könnten über einen langen Zeitraum angesammelt worden sein.

CNET-Senior-Redakteur Dan Ackerman sagte: „ Es könnte nicht eine Person sein, es könnte eine Gruppe von Menschen sein, und dies könnten Fotos sein, die über Monate oder Jahre hinweg zusammengestellt wurden, “

Online-Beiträge auf den Websites 4chan und Reddit berichteten, dass Fotos von mehr als 100 Promis veröffentlicht wurden, als ein Hacker in ihren cloudbasierten Speicher eindrang, während unabhängige Nachrichtenagenturen angaben, dass nur Bilder von 20 Promis in engen und persönlichen Positionen möglicherweise geleakt wurden.

Fotos des „ Die Tribute von Panem “-Stars Jennifer Lawrence in verschiedenen Entblößungsstadien erschienen online, zusammen mit privaten Fotos von Schauspielerin Mary Elizabeth Winstead, Model Kate Upton und anderen. Ein Sprecher von Lawrence sagte, dass die Beiträge „eine flagrante Verletzung der Privatsphäre“ seien und erklärte: „ Die Behörden wurden kontaktiert und werden jeden verfolgen, der die gestohlenen Fotos von Jennifer Lawrence veröffentlicht. “

Winstead und Upton bestätigten, dass die gestohlenen Fotos von ihnen echt seien, während zwei andere Opfer, Sängerin Ariana Grande und Nickelodeon-Star Victoria Justice, sagten, dass die veröffentlichten Fotos von ihnen Fälschungen seien.

Auf der anderen Seite sagte Apple am Montag, dass es „aktiv untersucht“, ob ein Sicherheitsvorfall bei seinem iCloud-Dienst für den Leak verantwortlich war.

„ Wir nehmen den Datenschutz der Nutzer sehr ernst und untersuchen diesen Bericht aktiv, “, sagte die Apple-Sprecherin Natalie Kerris gegenüber Recode.

Der bislang unbekannte Angreifer hatte noch einen weiteren Vorteil => Apple erlaubt eine unbegrenzte Anzahl von Passwortversuchen. Normalerweise begrenzen Systeme die Anzahl der Versuche, die jemand unternehmen kann, um sich mit einem falschen Passwort in ein System einzuloggen, bevor das Konto vollständig gesperrt wird. Apple hat seitdem diesen Aspekt der Schwachstelle behoben.

“ Die Angreifer hätten niemals eine unbegrenzte Anzahl von Versuchen haben dürfen, ” sagte Kindlund.

Und während es keine direkten Beweise gibt, die Apples iCloud mit dem Angriff verbinden, scheint der Zeitpunkt des Vorfalls mit einem Vortrag von Sicherheitsforschern zum Thema Sicherheit auf iCloud zusammenzufallen.

**

Das iBrute-Programm wurde von Sicherheitsforschern in Russland als Machbarkeitsnachweis erstellt und im Rahmen eines Vortrags auf einer Sicherheitskonferenz in St. Petersburg Anfang dieses Monats demonstriert.