News
02.09.2014, 09:09 Uhr
Weitere Spekulationen über Promi-Hack
Eine Brute-Force-Lücke im Apple-Dienst «Find My iPhone» soll es Hackern ermöglicht haben, Fotos von Promis abzuzügeln. Doch diese Version scheint zu einfach
Langsam lichten sich die Nebel rund um die Veröffentlichungen von privaten Fotos prominenter Schauspielerinnen und Sängerinnen. Gestern wurde kolportiert, dass der Hacker eine Sicherheitslücke in iCloud ausnützte, um an die intimen Fotos zu kommen. Heute musste Apple nun kleinlaut zugeben, dass es eine Sicherheitslücke im Service Find my iPhone geschlossen hat. So war es möglich via Brute-Force-Attacken unendlich viele Passwortkombinationen in der Login-Maske durchzuprobieren. Es gibt dazu spezielle Programme, wie zum Beispiel iBrute. Sofern war es für den Hacker wohl relativ einfach, zu diesem Material zu kommen. Alles was er brauchte, war die mit dem iCloud-Account verknüpfte Mailadresse. An diese heranzukommen, scheint nicht sonderlich schwierig zu sein. Doch ob diese Sicherheitslücke tatsächlich das Tor für diesen Angriff war, daran wird gezweifelt. Das Problem mit der Brute-Force-Attacke wurde an der Def Con Konferenz am 30. August öffentlich verhandelt.
#hackapp @DefconRussia AppleID bruteforce tool via FindMyIphone bug. Doesn't lock AppleID. https://t.co/9dG3EjtrLS
— HackApp (@hackappcom) August 30, 2014
So blieb dem Angreifer nur sehr wenig Zeit, diese Lücke auszunutzen. Und Brute-Force-Attacken brauchen Zeit. Trotzdem kommt die Sache Apple natürlich sehr ungelegen, will das Unternehmen doch am 9. September einen neuen Bezahldienst für das iPhone vorstellen - und da sind Meldungen über Sicherheitslücken nicht gerade vertrauenerweckend. Auf der anderen Seite gehören solche Sicherheitsprobleme leider zum Standardrepertoire grosser IT-Unternehmen.
Verschiedene Dienste kommen in Frage
Doch die Lücke im FindMyPhone-Dienst scheint nur ein Puzzle-Teil in der Affäre zu sein. Inzwischen gibt es weitere Vermutungen, wie eine so grosse Anzahl an Fotos gesammelt werden konnte. Unter anderem wird über die Sicherheitslücken im Sexting-Dienst Snapchat spekuliert, welche im vergangenen Dezember ruchbar wurden. Auch ist durchaus möglich, dass Insider am Werk waren. So überlassen die meisten Promis ihren Assistenten oder Assistentinnen ihre Telefone damit sich diese um Backups, Termine oder ähnliches kümmern. Und natürlich gibt es weitere Speicherdienste, wie zum Beispiel Google Drive oder Dropbox. Eine Unachtsamkeit genügt und schon landen Fotos oder Dateien in öffentlich zugänglichen Ordnern. Und über die Möglichkeit, via persönlicher Laptop oder Desktop-PC der Opfer an die Daten zu kommen, haben wir auch schon gestern diskutiert.
Die Affäre zeigt etwas deutlich: So schön und toll diese neuen Dienste und Smartphones auch sind, es bleibt am Schluss nichts verborgen. Oder um es in den Worten von Ex-Google CEO Eric Schmidt zu sagen: «Wenn es irgendetwas gibt, was man nicht über Sie wissen sollte, dann sollten Sie es vielleicht gar nicht erst tun.»
Inzwischen wurde sogar das FBI in die Ermittlungen eingeschaltet, wie verschiedene Medien berichten. Auch der angebliche «Hacker» soll sich gemeldet haben und sagt, er habe die Bilder lediglich «gesammelt» und dann auf 4chan.org gestellt. In Anbetracht des drakonischen Strafmasses, das ihm blüht, ist eine solche Stellungnahme nur verständlich.
Autor(in)
Marcel
Hauri
04.09.2014
04.09.2014
05.09.2014
05.09.2014
05.09.2014
05.09.2014
08.09.2014