{"id":155939,"date":"2014-09-03T00:10:00","date_gmt":"2014-09-02T22:10:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=155939"},"modified":"2024-06-05T16:51:45","modified_gmt":"2024-06-05T14:51:45","slug":"apple-statement-zum-icloud-hack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2014\/09\/03\/apple-statement-zum-icloud-hack\/","title":{"rendered":"Apple-Statement zum iCloud-Hack"},"content":{"rendered":"

Im Beitrag iCloud-Hack\u2013Einzelheiten werden bekannt<\/a> hatte ich ja \u00fcber einen Einbruch in Apples iCloud berichtet, bei dem ein Hacker private Nacktfotos prominenter Frauen erbeutete und im Internet ver\u00f6ffentlicht. Spannende Frage: Ist die iCloud oder der Dienst \"Find My iPhone\" kompromittiert, oder wie kam der Hacker an die Zugangsdaten. Apple hat jetzt eine vorl\u00e4ufige Stellungnahme abgegeben und hier Zweifel ges\u00e4t. Update: Spiegelt sich zwischenzeitlich auch im \"Pressespiegel\".<\/p>\n

<\/p>\n

Die Site 9to5mac.com hat hier eine vorl\u00e4ufige Stellungnahme<\/a> seitens Apple ver\u00f6ffentlicht. Hier der Originaltext von Apples Stellungnahme.<\/p>\n

CUPERTINO, Calif- We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple's engineers to discover the source. Our customers' privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple's systems including iCloud\u00ae or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.<\/p>\n

To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http:\/\/support.apple.com\/kb\/ht4232<\/a>.<\/p><\/blockquote>\n

Nach einer 40 st\u00fcndigen Untersuchung hat Apple keine Anhaltspunkte gefunden, dass die iCloud oder der Dienst \"Find My Phone\" Sicherheitsl\u00fccken aufweist und kompromittiert sei. Vielmehr habe man festgestellt, dass sich der Angriff gezielt gegen einzelne Nutzerkonten gerichtet habe. Dort seien Benutzername, Kennwort und Sicherheitsfrage durch entsprechende Angriffsszenarien ermittelt und zum Zugriff auf die Daten verwendet worden. Man arbeitet mit den Strafverfolgern daran, den Hacker ausfindig zu machen.<\/p>\n

So weit so schlecht. Wo ich momentan aber ins Schleudern gerate, ist der ZDNet-Artikel Apple patches 'Find My iPhone' exploit<\/a>. Also: Wenn ich in oberem Statement lese, dass kein Bruch von iCloud oder Find My iPhone festgestellt wurde, wieso patcht Apple dann? Im ZDNet-Artikel wird konkret berichtet, dass genau einen Tag, bevor die privaten Fotos ver\u00f6ffentlicht wurden, auf GIT-Hub Code f\u00fcr ein AppleID password bruteforce proof-of-concept hochgeladen wurde. Der Code nutzt eine Schwachstelle in Find My iPhone f\u00fcr Brut Force Angriffe, um die Zugangsdaten herauszufinden. Und genau dieses Schwachstelle hat Apple wohl gepatcht. Recht undurchsichtig das Ganze.<\/p>\n

Die Reflektion im Web<\/h3>\n

Nachtr\u00e4ge:<\/strong> Mein Kurzbeitrag war gestern beim Erstellen noch recht frisch. Nach dem obigen Apple-Statement tat sich einiges im Internet und andere Leute haben sich ebenfalls Gedanken gemacht. Hier ein kleiner \u00dcberblick.<\/p>\n

While Apple denies that iCloud was \"breached\", it doesn't deny iCloud was involved in the celebrity photo theft<\/a> (The Verge)
\niCloud Isn't Safe, Because Everyone's a Target and Apple Doesn't Care<\/a>
\nElcomsoft Phone Password Breaker, a law enforcement tool popular on hacker forums, downloads full iCloud backups given stolen credentials<\/a>
\nA look inside the hacker networks dealing in stolen celebrity data<\/a><\/p>\n

Die Implikationen<\/h3>\n

Momentan gibt es an zwei Stellen einen GAU. Einmal bei der deutschen Telekom, die bis 2018 alle Anschl\u00fcsse auf VoIP-Telefonie umstellen will, aber seit Wochen mit massiven St\u00f6rungen zu k\u00e4mpfen hat, die viele Nutzer aussperren. Ich habe es im Beitrag Gut aufgehoben: VoIP\u2013Telekom\u2013massive St\u00f6rung<\/a> angesprochen (siehe auch hier bei heise.de<\/a>). Der heise.de-Kommentar Kommentar zu Netzausf\u00e4llen: Super-GAU f\u00fcr Voice-over-IP<\/a> umrei\u00dft das Problem \u2013 w\u00e4hrend die Telekom \"alternativlos\" mit Augen zu und durch weiter wurstelt<\/a>.<\/p>\n

Und der zweite GAU sind die massiven Sicherheitsl\u00fccken, die in den letzten Monaten bekannt wurden und f\u00fcr Hacks ausgenutzt wurden. In der folgenden Artikelliste habe ich das Payment-System, welches Apple im iPhone 6 einf\u00fchren will thematisiert. Da passt der gerade von Kress on Security ver\u00f6ffentlichte Fall Banks: Credit Card Breach at Home Depot<\/a>, der einen Kreditkartendatendiebstahl thematisiert.<\/p>\n

Dar\u00fcber hinaus will Apple mit iOS 8 ja massiv im Bereich Fitness- und Gesundheit punkten. Da geht dann gerade das n\u00e4chste (Sicherheits-)Fass auf. Im Beitrag When our wearables talk with our doctors<\/a> hat noch jemand die \"sch\u00f6ne neue Welt\" beschrieben, wo die Gesundheitsger\u00e4te mit Datensammelstellen im Gesundheitswesen kommunizieren und der Doktor direkt auf die Infos zugreifen kann. Aber wo Daten anfallen, wachsen Begehrlichkeiten. Da wirkt auf mich der Versuch Apple, App-Entwicklern die Weitergabe von HealtKit-Daten an Werbenetzwerke per \"Verordnung\" zu untersagen (siehe Apple bans iOS developers from selling HealthKit data to ad networks<\/a>) \u2013 nur noch niedlich. Das wird Hacker nicht davon abhalten, sich massiv Zugriff auf Gesundheits- und Fitness-Daten zu verschaffen. Ich erinnere nur an meinen Artikel Heartbleed-L\u00fccke zum Klau der Gesundheitsdaten genutzt<\/a> von vor 14 Tagen. Fazit: Die Cloud ist unsicher, egal, was man uns erz\u00e4hlen will. Microsoft, Google und auch Apples Management habe es leider noch nicht verstanden \u2013 und die werden kr\u00e4ftig gegen die Wand fahren (wenn noch ein bisschen Hirn auf diesem Planeten existiert). Aber vielleicht hat sich das Lemminge-Gen bereits so weit durchgesetzt, dass es Homo Erectus nicht interessiert, was mit seinen Daten passiert. F\u00fcr die neuen HealtKit-Funktionen sehe ich datensicherheitsm\u00e4\u00dfig jedenfalls extrem schwarz. Wird noch eine Freude werden, hier \u00fcber die n\u00e4chsten Skandale zu bloggen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nApples Payment-System: Kreditkartenanbieter an Bord<\/a>
\nApple sagt: iCloud ist nicht kompromittiert<\/a>
\nAustralische iOS & OS X-Nutzer per Apple ID durch Hack blockiert<\/p>\n","protected":false},"excerpt":{"rendered":"

Im Beitrag iCloud-Hack\u2013Einzelheiten werden bekannt hatte ich ja \u00fcber einen Einbruch in Apples iCloud berichtet, bei dem ein Hacker private Nacktfotos prominenter Frauen erbeutete und im Internet ver\u00f6ffentlicht. Spannende Frage: Ist die iCloud oder der Dienst \"Find My iPhone\" kompromittiert, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[562,3640],"class_list":["post-155939","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-apple","tag-icloud-hack"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/155939","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=155939"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/155939\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=155939"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=155939"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=155939"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}