News 02.09.2014, 09:09 Uhr

Weitere Spekulationen über Promi-Hack

Eine Brute-Force-Lücke im Apple-Dienst «Find My iPhone» soll es Hackern ermöglicht haben, Fotos von Promis abzuzügeln. Doch diese Version scheint zu einfach
Langsam lichten sich die Nebel rund um die Veröffentlichungen von privaten Fotos prominenter Schauspielerinnen und Sängerinnen. Gestern wurde kolportiert, dass der Hacker eine Sicherheitslücke in iCloud ausnützte, um an die intimen Fotos zu kommen. Heute musste Apple nun kleinlaut zugeben, dass es eine Sicherheitslücke im Service Find my iPhone geschlossen hat. So war es möglich via Brute-Force-Attacken unendlich viele Passwortkombinationen in der Login-Maske durchzuprobieren. Es gibt dazu spezielle Programme, wie zum Beispiel iBrute. Sofern war es für den Hacker wohl relativ einfach, zu diesem Material zu kommen. Alles was er brauchte, war die mit dem iCloud-Account verknüpfte Mailadresse. An diese heranzukommen, scheint nicht sonderlich schwierig zu sein. Doch ob diese Sicherheitslücke tatsächlich das Tor für diesen Angriff war, daran wird gezweifelt. Das Problem mit der Brute-Force-Attacke wurde an der Def  Con Konferenz am 30. August öffentlich verhandelt.
#hackapp @DefconRussia AppleID bruteforce tool via FindMyIphone bug. Doesn't lock AppleID. https://t.co/9dG3EjtrLS
— HackApp (@hackappcom) August 30, 2014
So blieb dem Angreifer nur sehr wenig Zeit, diese Lücke auszunutzen. Und Brute-Force-Attacken brauchen Zeit. Trotzdem kommt die Sache Apple natürlich sehr ungelegen, will das Unternehmen doch am 9. September einen neuen Bezahldienst für das iPhone vorstellen - und da sind Meldungen über Sicherheitslücken nicht gerade vertrauenerweckend. Auf der anderen Seite gehören solche Sicherheitsprobleme leider zum Standardrepertoire grosser IT-Unternehmen.

Verschiedene Dienste kommen in Frage

Doch die Lücke im FindMyPhone-Dienst scheint nur ein Puzzle-Teil in der Affäre zu sein. Inzwischen gibt es weitere Vermutungen, wie eine so grosse Anzahl an Fotos gesammelt werden konnte. Unter anderem wird über die Sicherheitslücken im Sexting-Dienst Snapchat spekuliert, welche im vergangenen Dezember ruchbar wurden. Auch ist durchaus möglich, dass Insider am Werk waren. So überlassen die meisten Promis ihren Assistenten oder Assistentinnen ihre Telefone damit sich diese um Backups, Termine oder ähnliches kümmern. Und natürlich gibt es weitere Speicherdienste, wie zum Beispiel Google Drive oder Dropbox. Eine Unachtsamkeit genügt und schon landen Fotos oder Dateien in öffentlich zugänglichen Ordnern. Und über die Möglichkeit, via persönlicher Laptop oder Desktop-PC der Opfer an die Daten zu kommen, haben wir auch schon gestern diskutiert.
Die Affäre zeigt etwas deutlich: So schön und toll diese neuen Dienste und Smartphones auch sind, es bleibt am Schluss nichts verborgen. Oder um es in den Worten von Ex-Google CEO Eric Schmidt zu sagen: «Wenn es irgendetwas gibt, was man nicht über Sie wissen sollte, dann sollten Sie es vielleicht gar nicht erst tun.»
Inzwischen wurde sogar das FBI in die Ermittlungen eingeschaltet, wie verschiedene Medien berichten. Auch der angebliche «Hacker» soll sich gemeldet haben und sagt, er habe die Bilder lediglich «gesammelt» und dann auf 4chan.org gestellt. In Anbetracht des drakonischen Strafmasses, das ihm blüht, ist eine solche Stellungnahme nur verständlich.

Autor(in) Marcel Hauri



Kommentare
Avatar
Andi-OI-OI
04.09.2014
Sehe ich Alles genauso wie du ;) Zustimmung in allen Punkten! Man darf halt dabei nur nicht vergessen, dass deine Voraussetzungen eben nicht Alle haben. Und dass Menschen von Natur aus sehr sehr "faule" und "bequeme" Zeitgenossen sind :)

Avatar
Telaran
04.09.2014
Ich bin bei dem Thema definitiv Zwei gespalten. Selber Schuld Es ist leicht, aber auch Naiv, wenn man die Schuld auf den Anwender abwälzt. Selbst Schuld wenn man E-Banking nutzt, selbst Schuld wenn man Virenccanner A anstelle Virenscanner B verwendet, usw usw. Selbstreflexion Hier im Forum sind manche IT Erfahrene Personen unterwegs, aber nun geht paar Schritte zurück und betrachtet die Allgemeinheit. Allgemeinheit Man kann nicht erwarten, dass jeder einen eigenen Server betreibt und wie die letzten Wochen gezeigt haben, ist ein NAS auch nicht des Weisheit letzter Schluss. Der Wunsch gewisse Daten auch ohne Computer und ausserhalb der Wohnung zu haben ist da und sollte auch möglich sein. Oder führt ihr private Gespräche ausschliesslich, immer und am besten mit speziell verschlüsselten Handy/Telefon in der Wohnung? Immer? Angewöhnen von Cloud Es ist so, dass es genug Dienste gibt (Apps und co) welche Daten in die Cloud ablegen, ohne das man dies so leicht herausfinden kann (Als nicht IT-Erfahrene Person) oder sie bieten Dienstleistungen an, welche erst mit der Cloud interessant sind. Als ich meine Sony a5000 gekauft habe, wollte es auch seine eigene Software. Es ist bequem, wenn die Software automatisch die Bilder auf den PC ladet, die nach Datum sortiert ablegt... und in der Standardkonfiguration auch gleich in die Cloud schmeisst (den Account richtet man sich beim Start ein, weil diverse Tools angeboten werden und für Support erforderlich sei). Mir ist das sofort aufgefallen. 99% der Anwender ist das aber egal. Im Gegenteil, sie finden es super: Cool ich kann die Urlaubsfotos gleich via FB & co allen zugänglich machen"... Das selbe ist mit der iCloud. Die meisten finden es genial, wenn man auf dem Tablet gleich die Bilder ansehen kann, welche vorher mit dem Handy geschossen wurden. Leider hinken wir in Sachen Datenschutz, Privatssphäre und auch Cloud noch sehr weit hinter der Realität hinterher. Hier gibt es noch viele rechtliche, moralische und auch gesellschaftliche Probleme, die man klären muss. Alle sind schuld Auch wenn ich keine passendere Analogie habe, aber der Cloudanbieter ist wie das Schliessfach-Angebot am Bahnhof (Bank würde weniger passen). Er ist verpflichtet bis zu einem Gewissen Grad die Sicherheit zu gewährleisten und sollte mit Kamera und Personal eine rudimentäre Absicherung anbieten. Apple hatte zugelassen, dass man einfach Passwörter ungehindert/ungebremst austesten konnte. Das ist Ihr Versäumnis. Die Promis hatten anscheinend zu leichte Passwörter und/oder via Social Engineering den Zugriff ermöglicht. Das ist deren Versäumnis, was aber relativiert werden kann, weil Apple so leichte Passwörter bei Bestandskunden zugelassen hatte (kein Passwortwechsel erzwungen) Zwischenfazit Aber im Endeffekt ist weder "Macht keine Nacktbilder/vertrauliche Dokumente", noch "Ladet nichts ins Netz/Cloud" eine praktikable Lösung. Cloud sind ein Bestandteil unserer technologischen Entwicklung und man muss eher den Umgang damit finden. PS: Ich hab die Bilder angesehen und hätte es den Aufstand nicht darum gegeben, hätte ich es als 08/15 Amateur Fotos abgestempelt und nicht weiter beachtet

Avatar
Kovu
05.09.2014
Es ist halt dennoch sehr blauäugig, wenn man Material von höchst privater Natur über die Cloud speichert und verbreitet. Auch wenn ich selber keine Cloud-Speicher und Social Media nutze (und ich werde das so lange wie nur irgend möglich zu verhindern wissen), verbiete ich anderen nicht, diese doch zu nutzen. Mein eigentlicher Punkt ist der: es wäre jedem geraten das Hirn einzuschalten, bevor man solche Dienste nutzt. BZW - man sollte halt entscheiden, ob es wirklich nötig ist, dass die eigenen Nacktbilder in den weiten des Webs versickern, und irgendwann gezwungener massen wieder auftauchen. Das Sicherheitsproblem der Internetdienste wird NIE wirklich gelöst sein - denn sobald 1 Mensch zugriff darauf hat, kann ihn ein anderer auch erhalten, und zwar während 24 Stunden über 7 Tage die Woche, bequem vom Bett aus (so bequem wie es halt für den Nutzer ist, wird es auch für den Hacker sein). Das hängt nicht mal so sehr davon ab, ob man einem Dienstanbieter das Vertrauen schenkt oder ob man den eigenen Server betreibt. Aber auf dem eigenen Server entscheide ich, was dort liegt und liegen bleibt, und nicht Mark Zuckerberg, dem das Löschen von Bildern einfach zu kompliziert ist. Und was bei Cloud-Diensten dazu kommt: unweigerlich legt man dort seine Daten in die Hände von Dritten, welche die Systeme warten. Da nützen mir alle Verträge und rechtlichen Konsequenzen gegenüber dem Betreiber nichts, wenn dieser Dritte ein Filou ist und meine Daten klaut. Zwar weiss ich dann, dass der Betreiber schuld ist, wenn die Daten geklaut wurden, aber draussen sind sie dann ob er nun schuld ist oder nicht. Daher kann ich nur nochmals betonen: wer heikles Material in der Cloud speichert, ist selber schuld wenn irgendwann etwas davon an die Öffentlichkeit gelangt. Das ist weder des Betreibers schuld noch die des Hackers, denn man hat die eigene Sorgfaltspflicht gegenüber der eigenen Privatsphäre verletzt. Und sich dann hinter Ahnungslosigkeit und Unerfahrenheit zu verstecken ist genau so quatsch wie dem Polizisten zu sagen, man hätte nicht gewusst, dass man Innerorts nur 50 fahren darf.

Avatar
Gaby Salvisberg
05.09.2014
Ihr sprecht gute Punkte an, Telaran und Kovu. Ein weiteres grosses Problem ist die Tatsache, dass man in Bezug auf Bilder und persönliche Daten auch den Mitmenschen weitgehend ausgeliefert ist. Man kann selbst noch so vorsichtig sein, auf Facebook oder Cloudspeicherdienste verzichten: Die lieben Freunde und Verwandten werden trotzdem das eine oder andere Bild von Dir auf Facebook stellen oder überhaupt alle Fotos bei einem der Cloudspeicherdienste «sichern». Dazu kommen noch Smartphones mit sehr Internet-affinen Betriebssystemen von Google, Apple und Microsoft. Auch in deren Adressbücher werden Datensätze aus verschiedenen Quellen zusammengeführt und ergänzt. Für mich selbst ist das vielleicht ein bisschen weniger tragisch, da ich Twitter, Google+ und Co. sowieso schon aus beruflichen Gründen nutze. Aber wenn sich jemand ganz bewusst von jeglichen Social-Media- und Clouddiensten fernhält, wird ihm dies schon wegen des eigenen Umfeldes nie komplett gelingen. Besonders fies finde ich die von zahlreichen Social-Media-Diensten und Mailportalen angebotenen Funktionen im Stile von «Importiere hier dein Adressbuch, um deine Freunde zu finden!». Ich weiss nicht, wie viele meiner Bekannten meinen kompletten Datensatz auf diese Weise schon an Facebook, Google, Microsoft, Yahoo, Twitter oder GMX verfüttert haben. Wahrscheinlich will ich das auch nicht wissen. :-/ Herzliche Grüsse Gaby

Avatar
Telaran
05.09.2014
Daher kann ich nur nochmals betonen: wer heikles Material in der Cloud speichert, ist selber schuld wenn irgendwann etwas davon an die Öffentlichkeit gelangt. Das ist weder des Betreibers schuld noch die des Hackers, denn man hat die eigene Sorgfaltspflicht gegenüber der eigenen Privatsphäre verletzt. Und sich dann hinter Ahnungslosigkeit und Unerfahrenheit zu verstecken ist genau so quatsch wie dem Polizisten zu sagen, man hätte nicht gewusst, dass man Innerorts nur 50 fahren darf.Heute mag diese Aussage zustimmen. Wenn ich jedoch die Entwicklung in den letzten 4 Jahre betrachte, zeigt der Trend in eine Richtung, wo deine Argumentation nicht mehr 100% passt. Bei der aktuellen Entwicklung ist es nur eine Frage der Zeit, dass auch Behörden auf Cloud-Dienste setzen oder eben "vertrauliche" Daten in die Cloud wandern (automatisiert) und dann ist der Supergau Vorprogrammiert. Zudem ist es so, dass die Akzeptanz dieser Dienste steigt, weil der Komfort unbestritten da ist (Für viele Anwender: Es Funktioniert einfach). Und zu guter Letzt hat Gaby auch sehr gut verdeutlicht, dass wir niemals alle "heikle/private/intimen" Daten vom Netz und solchen Diensten fernhalten können, da andere die Arbeit für uns abnehmen... ... Andererseits ist es auch immer relativ was man unter vertraulich versteht. Für eine Privatperson ist es egal, wenn Webseite A anzeigt, dass derjenige bis 2 Uhr in der Früh ein Spiel gespielt hat. Für den Arbeitgeber hingegen könnte das Anlass sein dessen Produktivität/Arbeitsqualität anzuzweifeln (ungeachtet ob un/begründet) Im Endeffekt wird dieses Thema wohl in 10 Jahren niemanden mehr jucken. Wie bei vielen Moralisch/Gesellschaftlichen Themen (welche dank dem Wandel durch die IT angestossen wurden).

Avatar
Kovu
05.09.2014
^ weswegen Microsoft für mich je länger je mehr ausscheidet. Schon heute begrenzt sich meine Windows-Nutzung auf ein Minimum, weil das Betriebssystem a) nicht mehr liefert was ich brauche und b) bald nur noch Funktionen bietet die ich GAR NICHT brauche. Windows 8 hab' ich bis heute nicht angerührt, und naja... Windows 9 wird zeigen müssen was es drauf hat, bzw, es wird mindestens die Möglichkeit bieten müssen, Cloud-Dienste auszuklammern. Ansonsten wird sich mein Computer-Dasein voll und ganz auf Linux beschränken.

Avatar
Telaran
08.09.2014
Sorry für den Drift ins Offtopic, aber: Windows 8 hab' ich bis heute nicht angerührt, und naja... Windows 9 wird zeigen müssen was es drauf hat, bzw, es wird mindestens die Möglichkeit bieten müssen, Cloud-Dienste auszuklammern. Ansonsten wird sich mein Computer-Dasein voll und ganz auf Linux beschränken.Ich glaub du hast den Kern meiner Aussage missverstanden. Es geht hier nicht um ein OS-Spezifisches Problem, sondern um ein Gesellschaftliches, dass sich kaum mit Verweigerung lösen lässt. Mit dem Trend zum IoT (Internet der Dinge) werden immer wie mehr Geräte ans Internet angebunden und wohl unkontrolliert Daten an den Hersteller gesendet (Bestes Beispiel sind aktuelle SmartTV und HBBTV). Selbst wenn es dann kontrolliert wäre, würden die Hersteller Dienstleistungen anbieten, womit die Mehrheit der Anwender einverstanden sind. Du kannst gerne dich vor all diesen technischen Neuerungen verweigern oder hoffen, dass du es soweit eindämmen kannst, dass es für deine Nutzung akzeptabel ist, aber der Trend ist in die Richtung und es ist schwer abzusehen, wie viel davon man als Anwender dann noch beeinflussen kann. Denn: Der Massstab sind nicht Leute, welche einen Router (inkl. Port-Blockaden/Forwarding, Firewall) konfigurieren oder einen Server aufsetzen und einrichten, oder ein eigene Linux-Distribution aufsetzen können. Der Massstab sind die Mehrheit der Leute, welche die Technologie einfach nutzten wollen (und ja, das ist ihr gutes Recht).