Michal Ždanský Nach mehreren Tagen der internen Untersuchung von Apple gab das Unternehmen eine Erklärung dazu ab Hacken der iCloud-Konten einiger Prominenter, dessen heikle Fotos an die Öffentlichkeit gelangten. Laut Apple wurden die Fotos nicht durch Hackerangriffe auf die Dienste iCloud und Find My iPhone durchgesickert, da die Ingenieure des kalifornischen Unternehmens anhand der Art und Weise, wie die Hacker an die Fotos gelangten, einen gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen ermittelten. Sie äußerten sich jedoch nicht dazu, wie die iCloud-Fotos erlangt wurden.
Laut Wired wurden die Passwörter mit forensischer Software von Regierungsbehörden geknackt. Auf dem Schwarzen Brett Anon-IB, wo mehrere Promi-Fotos auftauchten, diskutierten einige Mitglieder offen über die Verwendung der Software im Namen von ElcomSoft Phone Password Breaker. Auf diese Weise können Sie die erhaltenen Benutzernamen und Passwörter eingeben, um die gesamten Sicherungsdateien vom iPhone und iPad abzurufen. Laut einem von Wired befragten Sicherheitsexperten stimmen die Metadaten der Fotos mit der Verwendung der besagten Software überein.
Die Hacker mussten lediglich an Benutzernamen (Apple-ID) und Passwörter gelangen, was ihnen wahrscheinlich dank der zuvor erwähnten Methode mithilfe des Programms gelang iBrute zusammen mit der Schwachstelle „Find My iPhone“, die es Angreifern ermöglichte, das Passwort ohne Begrenzung der Anzahl der Versuche zu erraten. Apple hat die Sicherheitslücke kurz nach ihrer Entdeckung behoben. Eine große Rolle spielte auch die Tatsache, dass die Opfer des Hackerangriffs keine zweistufige Verifizierung nutzten, die die Eingabe eines an das Telefon gesendeten Codes erfordert. Es ist zu beachten, dass die zweistufige Verifizierung nicht für iCloud-Backup- und Fotostream-Dienste gilt, sie es jedoch erheblich schwieriger machen würden, überhaupt Benutzernamen-Passwörter zu erhalten.
Allerdings ist iCloud selbst mit der zweistufigen Verifizierung nicht optimal geschützt. Wie von Michael Rose vom Server entdeckt TUAWBeim Synchronisieren von Fotostream, Safari-Backup und E-Mail-Nachrichten mit einem neuen Apple-Computer wird der Benutzer nicht gewarnt, dass vom neuen Computer auf Daten zugegriffen wurde. Nur mit Kenntnis der Apple-ID und des Passworts war es möglich, die genannten Inhalte ohne Wissen des Nutzers herunterzuladen. Wie Sie sehen, weisen die Cloud-Dienste von Apple immer noch einige Mängel auf, auch wenn der Benutzer durch die zweistufige Verifizierung geschützt ist, die übrigens beispielsweise in Tschechien oder der Slowakei immer noch nicht verfügbar ist. Immerhin fielen die Apple-Aktien nach dieser Affäre um vier Prozent.
Sie würden nicht glauben, wie ein paar Prominente mit einem wahnsinnig einfachen Passwort und Pornofotos auf ihrem Handy die Aktien eines so großen Unternehmens bewegen können :)
Sie haben einen wesentlichen Anteil daran, dass die Nutzer ihre Daten und einiges an Privatsphäre verloren haben, sodass es in diesem Fall völlig normal ist, dass die Aktien fallen. Zumindest lernt es, auf Sicherheit zu achten und wir Benutzer werden zumindest scheinbar damit klarkommen ;-).
Daher wurden Passwörter mit dem Programm iBrute geknackt, das mithilfe einer Trial-/Error-Methode alle häufig verwendeten Passwörter anhand eines Wörterbuchs durchprobiert. Die Schwachstelle bestand darin, dass die Opfer über ein Wörterbuch oder ein schwaches Passwort verfügten und Apple diese Methode in Find My Phone nicht blockierte (z. B. durch Begrenzung der Anzahl fehlgeschlagener Versuche pro Minute) (jetzt behoben). Sobald sie die Passwörter hatten, konnten sie tun und lassen, was sie wollten. Um jedoch keine Informationen über die Registrierung eines anderen Geräts mit derselben Apple-ID preiszugeben, haben sie mit dem EPPB-Programm ein vollständiges Backup des iPhones von iCloud heruntergeladen und mit diesem Programm Fotos aus dem Backup extrahiert. Fazit – ein gutes Passwort ist einfach ein Muss.
Es würde mich nicht wundern, wenn es auch ein bezahlter Umzug wäre. ein paar Tage vor der Einführung superneuer Dinge so viel Schmutz wie möglich auf den Apple-Riesen werfen. Es ist auch eines der möglichen Szenarios, wie es hätte sein können. Um sich heute für Aktien zu begeistern, muss man sich nur darüber im Klaren sein, wie sensibel sie sind. Aber derjenige, der der Beste ist, wird immer ins Wanken geraten, das wird sich nicht ändern.
Sie haben einen wesentlichen Anteil daran, dass die Nutzer ihre Daten und einiges an Privatsphäre verloren haben, sodass es in diesem Fall völlig normal ist, dass die Aktien fallen. Zumindest lernt es, auf Sicherheit zu achten und wir Benutzer werden zumindest scheinbar damit klarkommen ;-).
Klar, Apple zahlt nie für irgendetwas. Hören Sie um jeden Preis auf, den Rat zu verteidigen. Es ist schon peinlich. Sie haben es einfach geteilt
Gerade heute habe ich eine E-Mail von „checkauth@apple.com“ erhalten. Es sieht genauso aus wie bei Apple und besagt, dass eine Anwendung, die ich gar nicht verwende, von meinem Konto heruntergeladen wurde. Als ich mein Passwort ändern wollte, wurde ich auf eine Seite weitergeleitet, die genau wie Apple.com aussieht, aber die URL-Adresse ist deutlich anders.