Hightech und Blech

iCloud-Hack mit Find my iPhone

In den USA gab es durch den Labour Day (1.9) ein verlängertes arbeitsfreies Wochenende. Das heisst nicht, dass diese Tage nicht fleissig genutzt wurden. So wurde am 30. August bei Github ein Script namens iBrute eingestellt. Einen Tag später wurden in dem anonymen Internet-Anarcho-Fun-Portal 4chan.org und bei celeb.gate.cc Bilder von prominenten Schauspielerinnen und bekannten Models gereicht.

Da Medien im vermeintlichen öffentlichen Interesse nach authentischen Bilder von Personen wie Jeniffer Lawrence, Kate Upton, Lea Michele, Lady Sybil, Ariana Grande, Victoria Justice, Brie Larson, Kirsten Dunst, Becca Tobin, Jessica Brown Findlay, Hope Solo, Teresa Palmer, Kristen Ritter, Mary Elizabeth Winstead, McKayla Maroney und Yvonne Strahovski verlangen, handelt es sich um gefundenes Fressen. Niedere Triebe wie Hunger, Sex und Schadenfreude werden bedient. Dazu kommt Dummheit.

Um an gültige Kombinationen aus Nutzernamen, E-Mail-Adresse und Passwort zu kommen, wurde das Python-Script id_brute genutzt. Als Teil von Apple iCloud sollte die Funktion Find my iPhone genutzt worden sein. Ob die Bilder von iCloud stammen ist nicht klar. Es können auch iCloud-Anmeldedaten gleichlautend bei anderen Diensten wie Dropbox und Yahoo genutzt worden sein.

Dieser Hack offenbart Schwächen in Cloud-Diensten – auch von Apple. Apple hat zwar eine Sicherheitslücke am Wochenende geschlossen, sich aber doch nicht umfassend geäußert. Das Apple-Statement verweist auf laufende Ermittlungen des FBI. Wieder einmal zeigt sich, Apple kann alles, außer Sicherheit.

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

Apple rät zur two-step verification, wo es denn möglich ist. Eine Woche vor der Apple-Präsentation am 9.9. könnte Apple vertrauensbildendere Maßnahmen gebrauchen. Immerhin will Apple alle unsere Bilder in der iCloud Foto Mediathek speichern.

Symbolbild: 20after4