Apple-Statement zum iCloud-Hack

Im Beitrag iCloud-Hack–Einzelheiten werden bekannt hatte ich ja über einen Einbruch in Apples iCloud berichtet, bei dem ein Hacker private Nacktfotos prominenter Frauen erbeutete und im Internet veröffentlicht. Spannende Frage: Ist die iCloud oder der Dienst "Find My iPhone" kompromittiert, oder wie kam der Hacker an die Zugangsdaten. Apple hat jetzt eine vorläufige Stellungnahme abgegeben und hier Zweifel gesäht. Update: Spiegelt sich zwischenzeitlich auch im "Pressespiegel".

Die Site 9to5mac.com hat hier eine vorläufige Stellungnahme seitens Apple veröffentlicht. Hier der Originaltext von Apples Stellungnahme.

CUPERTINO, Calif- We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple's engineers to discover the source. Our customers' privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple's systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http://support.apple.com/kb/ht4232.

Nach einer 40 stündigen Untersuchung hat Apple keine Anhaltspunkte gefunden, dass die iCloud oder der Dienst "Find My Phone" Sicherheitslücken aufweist und kompromittiert sei. Vielmehr habe man festgestellt, dass sich der Angriff gezielt gegen einzelne Nutzerkonten gerichtet habe. Dort seien Benutzername, Kennwort und Sicherheitsfrage durch entsprechende Angriffsszenarien ermittelt und zum Zugriff auf die Daten verwendet worden. Man arbeitet mit den Strafverfolgern daran, den Hacker ausfindig zu machen.

So weit so schlecht. Wo ich momentan aber ins Schleudern gerate, ist der ZDNet-Artikel Apple patches 'Find My iPhone' exploit. Also: Wenn ich in oberem Statement lese, dass kein Bruch von iCloud oder Find My iPhone festgestellt wurde, wieso patcht Apple dann? Im ZDNet-Artikel wird konkret berichtet, dass genau einen Tag, bevor die privaten Fotos veröffentlicht wurden, auf GIT-Hub Code für ein AppleID password bruteforce proof-of-concept hochgeladen wurde. Der Code nutzt eine Schwachstelle in Find My iPhone für Brut Force Angriffe, um die Zugangsdaten herauszufinden. Und genau dieses Schwachstelle hat Apple wohl gepatcht. Recht undurchsichtig das Ganze.

Die Reflektion im Web

Nachträge: Mein Kurzbeitrag war gestern beim Erstellen noch recht frisch. Nach dem obigen Apple-Statement tat sich einiges im Internet und andere Leute haben sich ebenfalls Gedanken gemacht. Hier ein kleiner Überblick.

While Apple denies that iCloud was "breached", it doesn't deny iCloud was involved in the celebrity photo theft (The Verge)
iCloud Isn't Safe, Because Everyone's a Target and Apple Doesn't Care
Elcomsoft Phone Password Breaker, a law enforcement tool popular on hacker forums, downloads full iCloud backups given stolen credentials
A look inside the hacker networks dealing in stolen celebrity data

Die Implikationen

Momentan gibt es an zwei Stellen einen GAU. Einmal bei der deutschen Telekom, die bis 2018 alle Anschlüsse auf VoIP-Telefonie umstellen will, aber seit Wochen mit massiven Störungen zu kämpfen hat, die viele Nutzer aussperren. Ich habe es im Beitrag Gut aufgehoben: VoIP–Telekom–massive Störung angesprochen (siehe auch hier bei heise.de). Der heise.de-Kommentar Kommentar zu Netzausfällen: Super-GAU für Voice-over-IP umreißt das Problem – während die Telekom "alternativlos" mit Augen zu und durch weiter wurstelt.

Und der zweite GAU sind die massiven Sicherheitslücken, die in den letzten Monaten bekannt wurden und für Hacks ausgenutzt wurden. In der folgenden Artikelliste habe ich das Payment-System, welches Apple im iPhone 6 einführen will thematisiert. Da passt der gerade von Kress on Security veröffentlichte Fall Banks: Credit Card Breach at Home Depot, der einen Kreditkartendatendiebstahl thematisiert.

Darüber hinaus will Apple mit iOS 8 ja massiv im Bereich Fitness- und Gesundheit punkten. Da geht dann gerade das nächste (Sicherheits-)Fass auf. Im Beitrag When our wearables talk with our doctors hat noch jemand die "schöne neue Welt" beschrieben, wo die Gesundheitsgeräte mit Datensammelstellen im Gesundheitswesen kommunizieren und der Doktor direkt auf die Infos zugreifen kann. Aber wo Daten anfallen, wachsen Begehrlichkeiten. Da wirkt auf mich der Versuch Apple, App-Entwicklern die Weitergabe von HealtKit-Daten an Werbenetzwerke per "Verordnung" zu untersagen (siehe Apple bans iOS developers from selling HealthKit data to ad networks) – nur noch niedlich. Das wird Hacker nicht davon abhalten, sich massiv Zugriff auf Gesundheits- und Fitness-Daten zu verschaffen. Ich erinnere nur an meinen Artikel Heartbleed-Lücke zum Klau der Gesundheitsdaten genutzt von vor 14 Tagen. Fazit: Die Cloud ist unsicher, egal, was man uns erzählen will. Microsoft, Google und auch Apples Management habe es leider noch nicht verstanden – und die werden kräftig gegen die Wand fahren (wenn noch ein bisschen Hirn auf diesem Planeten existiert). Aber vielleicht hat sich das Lemminge-Gen bereits so weit durchgesetzt, dass es Homo Erectus nicht interessiert, was mit seinen Daten passiert. Für die neuen HealtKit-Funktionen sehe ich datensicherheitsmäßig jedenfalls extrem schwarz. Wird noch eine Freude werden, hier über die nächsten Skandale zu bloggen.

Ähnliche Artikel:
Apples Payment-System: Kreditkartenanbieter an Bord
Apple sagt: iCloud ist nicht kompromittiert
Australische iOS & OS X-Nutzer per Apple ID durch Hack blockiert