Sicherheitsforscher und Gründer von Longterm Security Alex Radocea hat Details zu einer Sicherheitslücke in Apples iCloud Keychain öffentlich gemacht. Ein Angreifer könnte durch die Schwachstelle, die iOS und macOS betrifft, alle Passwörter des digitalen Schlüsselbunds stehlen. Diese Anfälligkeit wurde bereits im März mit macOS Sierra 10.12.4 und iOS 10.3 beseitigt.

Bei der Synchronisierung vertraulicher Daten wie Passwörter oder Kreditkartendetails über mehrere Apple-Geräte hinweg tritt der Fehler auf. Radocea sagte im Gespräch mit ZDNet USA: „Der Bug, den wir gefunden haben, ist genau die Art von Bug, die Strafverfolger oder Geheimdienste in einem Ende-zu-Ende verschlüsselten System suchen würden“.

Den Schlüsselbund beliebiger iCloud-Konten zu plündern sei laut Radocea nicht möglich. Für seinen Angriff sei ein Zugang zum iCloud-Konto des Opfers Voraussetzung. „Die Kommunikation zwischen Geräten und Apple war stets sicher. Der Verschlüsselungsfehler hätte es einem Apple-Mitarbeiter mit bösen Absichten oder auch einem Ermittler mit Durchsuchungsbeschluss erlaubt, auf alle Keychain-Daten zuzugreifen.“

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE