Ein Zugriffsproblem in Apples iCloud, welches die Accountübernahme sowie das Entziffern von Codesperren von iOS- und iPadOS-Geräten ermöglicht, wurde von einem indischen Sicherheitsforscher entdeckt und im Rahmen des Bug-Bounty-Programms gemeldet. Die ihm zugewiesene Belohnung lehnte der Sicherheitsforscher jedoch ab - die Lücke sei schwerwiegender als von Apple eingestanden.

Laxman Muthiyah verwendete insgesamt 28.000 IP-Adressen, um bis zu eine Million Anfragen an Apples iForget-Server zu senden, welcher zur Rücksetzung des Passworts dient. Muthiya gelang es damit, dem sechstelligen Zwei-Faktor-Authentifizierungscode zu erlangen, welcher iCloud-Accounts normalerweise vor Übernahmen schützen soll. Voraussetzung für die Methode sei, dass sowohl E-Mail-Adresse als auch die hinterlegte vertrauenswürdige Telefonnummer des Opfers bekannt sind. Laut Apple funktioniere der Angriff weiterhin nur dann, wenn ein Apple-Account nie auf einem Mac, iPhone oder iPad verwendet wurde.

Es handele sich daher nur um eine "sehr geringe Minderheit an Accounts". Es sei jedoch zu beachten, dass insbesondere Nutzer von Apple-Diensten auf anderen Plattformen, die kein Apple-Device besitzen, betroffen sind.

Ein potenzieller zweiter Angriffspunkt, welcher die Codesperre für iPhones und iPads betrifft, wurde ebenfalls von Muthiyah entdeckt. Apple nutzt hier das sogenannte SRP Protokoll (Secure Remote Password), welches die Anmeldung mit der Codesperre bereits im Besitz befindlicher Geräte auf neuen Geräten ermöglicht. Laut Muthiyah sei ein Angriff potenziell möglich - zum Zeitpunkt nachdem die Lücke gemeldet wurde, seien die Server jedoch bereits abgesichert gewesen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE