Apple: Hacker finden dutzende schwere Sicherheitslücken in iCloud und Co
Apple: Hacker finden dutzende schwere
Sicherheitslücken in iCloud und Co
Nicht weniger als elf davon werden als
"kritisch" bezeichnet – gleich mehrere hätten vollständige Übernahme von
iCloud-Konten erlaubt
Grafik: Sam Curry
Zum zweiten Mal innerhalb weniger Tage muss
sich Apple unangenehme Fragen zur Sicherheit seiner Produkte gefallen
lassen – denn auch wenn Sicherheitslücken in Software nie vollständig
auszuschließen sind, das, was Hacker nun bei den Webservices von Apple
gefunden haben, zeichnet ein wenig erfreuliches Bild.
Details
Insgesamt 55 Sicherheitslücken hat ein Team
rund um den zwanzigjährigen Hacker Sam Curry bei iCloud und Co
aufgespürt. Von diesen fallen wiederum elf unter die höchste
Gefahrenstufe "kritisch". Mit diesen hätten weniger freundlich gesinnte
Angreifer allen möglichen Unsinn treiben können: So befinden sich
darunter gleich mehrere Lücken, über die ein iCloud-Konto komplett hätte
übernommen werden können.
Samuel Curry
Was das Ganze noch schlimmer macht: Ein
solcher Angriff ist geradezu trivial. Es reichte, einer Zielperson eine
Mail mit speziellen Zeichen zu schicken, um den Fehler auszulösen.
Öffnet das Opfer dann diese Mail, ließ sich das Konto vollständig
kapern, es gab also Zugriff auf Fotos, Adressbuch und alle anderen Daten
in der iCloud. Doch nicht nur das, waren diese Lücken auch noch
"wurmfähig" – ein Angreifer hätte sie also auch nutzen können, um in der
Folge weitere Nutzerkonten zu attackieren.
Großer Schaden möglich
Dazu kommt unter anderem noch ein Bug im
Autorisierungssystem, über den aus der Ferne Schadcode hätte ausgeführt
werden können. Oder auch Fehler, die die Manipulation von
Datenbankeinträgen am Server sowie den Zugriff auf interne Systeme von
Apple ermöglicht hätten. In Summe hätten Angreifer damit also einen
riesigen Schaden – nicht zuletzt auch für das Ansehen des Unternehmens –
anrichten können.
Curry versteht sich als "White Hat", also ein
Hacker mit noblen Absichten. Insofern wurde Apple auch vor der
Öffentlichkeit über all die Probleme informiert. Mittlerweile sollen die
Bugs alle bereinigt sein. Zudem erhalten die Hacker für ihre Arbeit im
Rahmen des Bug-Bounty-Programms von Apple eine Belohnung in
sechsstelliger Höhe. Bisher soll Apple 288.500 Dollar zugesagt haben,
schlussendlich könnten es aber an die 500.000 werden – bisher ist dieser
Einschätzungsprozess noch nicht abgeschlossen.
Weitere Details zu all den aufgespürten Lücken
liefern die Hacker in einem ausführlichen Blogposting. Für die
Aufspürung der Fehler hat man in Summe rund drei Monate Zeit investiert.
(apo, 9.10.2020)
https://www.derstandard.at/story/2000120676219/apple-hacker-finden-dutzende-schwere-luecken-in-icloud-und-co