Promi-Nacktbilder aus der Apple iCloud gestohlen - Apple wehrt sich gegen Vorwürfe (Update)

Eine Sicherheitslücke in »Find my iPhone« scheint das Einfallstor für den Diebstahl zahlreicher Promi-Nacktbilder gewesen zu sein. Apple streitet das ab.

von Georg Wieselsberger,
03.09.2014 08:27 Uhr

»Find my iPhone« könnte die Schwachstelle gewesen sein, über die Promi-Nacktbilder von der iCloud gestohlen wurden. Apple dementiert das. (Bildquelle: The Next Web)»Find my iPhone« könnte die Schwachstelle gewesen sein, über die Promi-Nacktbilder von der iCloud gestohlen wurden. Apple dementiert das. (Bildquelle: The Next Web)

Update: Apple wehrt sich nun gegen die Vorwürfe, Sicherheitslücken in der iCloud oder in Find My iPhone wären für den Diebstahl der Nacktbilder ausgenutzt worden. Laut Apple seien die Betroffenen selbst direkt Opfer von Angriffen gewesen, mit denen Usernamen, Passwörter und Antworten auf Sicherheitsabfragen herausgefunden wurden. Allerdings deutet die Stellungnahme von Apple an, dass die Bilder dann mit Hilfe dieser Daten in der iCloud gefunden wurden. Apple schreibt in seiner Stellungnahme, dass man bei Bekanntwerden des Bilderdiebstahl »schockiert« gewesen sein und sofort Apple-Techniker beauftragt habe, die Quelle herauszufinden.

Nach mehr als 40 Stunden haben man entdeckt, dass die Konten mancher Prominenter auf die oben beschriebene Weise kompromittiert worden seien. In keinem der untersuchten Fälle sei aber ein Einbruch in irgendein Apple-System festgestellt worden. »Wir arbeiten weiterhin mit dem Strafverfolgungsbehörden zusammen, um dabei zu helfen, die beteiligten Kriminellen zu identifizieren«. Apple rät allen Nutzern außerdem dazu, immer ein starkes Passwort und eine Zwei-Faktor-Prüfung zu verwenden. Für Apple kommt der Vorfall nur eine Woche vor der erwarteten Vorstellung des iPhone 6 zur vermutlich ungünstigsten Zeit.

Originalmeldung: Im Internet sind auf einschlägigen Filesharing-Seiten Dateien mit vielen Nacktbildern von Prominenten aufgetaucht. Es handelt sich mit wenigen Ausnahmen um Bilder prominenter, junger Schauspielerinnen, die diese Bilder in der iCloud von Apple gespeichert hatten. Bislang gibt es zwar keine offizielle Stellungnahme von Apple zu diesem Vorfall, doch im Internet selbst ist mit der Veröffentlichung der gestohlenen Bilder auch ein Skript aufgetaucht, das eine Sicherheitslücke in der »Find my iPhone«-Funktion ausnutzt.

Im Gegensatz zur entsprechenden Webseite von Apple, die nur wenige Versuche vor einer Sperrung zulässt, sah diese Funktion keine Beschränkung der möglichen Login-Versuche vor. Damit war »Find my iPhone« anfällig für eine Brute-Force-Attacke, bei der nur die Kenntnis der E-Mail-Adresse eines Opfers notwendig war und dann beliebig viele Passwörter ausprobiert werden konnten. Die Hacker haben laut eigenen Angaben die 500 meist genutzten Passwörter aus einem anderen Hack ausprobiert und damit viele Erfolge erzielt. Mit Passwort-Datenbanken lassen sich auf diese Weise aber auch Hunderttausende Passwörter in relativ kurzer Zeit testen. Alte iCloud-Accounts können zudem noch Passwörter besitzen, die mit älteren und weniger strengen Vorgaben erstellt wurden und damit noch leichter herauszufinden sind.

Das veröffentlichte Skript wurde laut The Next Web sogar nach dem Leak der Promi-Fotos von einigen Nutzern ausprobiert, die testweise ihr eigenes Konto angriffen und tatsächlich Zugriff erhielten. Obwohl Apple bislang keine Aussagen zu den Vorfällen gemacht hat, wurde die entsprechende Sicherheitslücke in »Find my iPhone« inzwischen aber geschlossen. Nun wird das Konto nach fünf fehlgeschlagenen Versuchen deaktiviert.


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...