Ein Fehler im Find My iPhone-Dienst von Apple könnte hinter einem Angriff stecken, der dazu führte, dass Hunderte von iCloud-Konten von Prominenten kompromittiert wurden.
Exportiere alle Snapchat-Erinnerungen in die Kamerarolle
Ein Machbarkeitsnachweis-Python-Skript, entwickelt von developed HackApp wegen Brute-Force-Angriffen kursierte iCloud seit mehreren Tagen im Internet, bevor Nacktfotos von 17 berühmten Frauen, darunterHungerspieleSchauspielerin Jennifer Lawrence undschottischer PilgerHauptdarstellerin Mary E Winstead tauchte online auf – offenbar von ihren iCloud-Konten gestohlen.
Der Hacker behauptete, insgesamt Bilder von über 100 weiblichen Prominenten zu haben.
Der Code lässt Angreifer offenbar über Find My iPhone wiederholt Passwörter erraten, ohne eine Sperre auszulösen oder das Ziel zu warnen.
Sobald das Passwort entdeckt wurde, konnte der Angreifer damit auf andere Bereiche der iCloud zugreifen.
Apple hat das Loch inzwischen gepatcht, obwohl es Behauptungen auf Reddit dass der Patch nur in bestimmten Regionen aktiv ist.
Der Sicherheitsforscher Graham Cluley hat jedoch behauptet, es sei kaum zu glauben, dass dies in kurzer Zeit ohne Entdeckung gegen eine Vielzahl von Konten hätte erfolgreich eingesetzt werden können.
Eine andere von Cluley und anderen Forschern vorgeschlagene Option besteht darin, dass die Opfer des Angriffs entweder ein leicht zu erratendes Passwort oder eine Antwort zum Zurücksetzen des Passworts hatten.
Viele Websites bieten Ihnen die Option 'Passwort vergessen' oder bitten Sie, durch die Beantwortung 'geheimer Fragen' durch die Reifen zu springen, um Ihre Identität zu beweisen, sagte Cluley.
Im Fall einer Berühmtheit könne es jedoch besonders einfach sein, den Namen ihres ersten Haustieres oder den Mädchennamen ihrer Mutter mit einer einfachen Google-Suche zu ermitteln, fügte er hinzu.
Rik Ferguson, Sicherheitsforscher bei Trend Micro, auch gesagt Ein groß angelegter „Hack“ von Apples iCloud ist unwahrscheinlich und weist darauf hin, dass selbst das Originalposter dies nicht behauptet hatte.
Er, wie Cluley, schlug vor, dass der Angreifer den Link 'Ich habe mein Passwort vergessen' verwendet haben könnte, wenn er die E-Mail-Adressen, die die Opfer für iCloud verwendeten, bereits kannte und Zugriff darauf hatte. Er schlug auch vor, dass die fraglichen Prominenten Opfer eines Phishing-Angriffs geworden sein könnten.
Twitter-Reaktion und rechtliche Drohungen
Während die Fotos zunächst auf 4chan durchgesickert waren, dauerte es nicht lange, bis insbesondere die Bilder von Jennifer Lawrence auf Twitter erschienen.
Innerhalb von etwa zwei Stunden hatte Twitter damit begonnen, alle Konten zu sperren, die eines der gestohlenen Fotos veröffentlicht hatten, aber nach einer Zeitleiste vonDer Spiegel , spielte das soziale Netzwerk ein Whack-a-Mole-Spiel, bei dem noch mehr als eine Stunde lang neue Bilder auftauchten, nachdem es zu handeln begann.
Mary E Winstead ging selbst zu Twitter, um sowohl die Person, die die Bilder veröffentlicht hat, als auch diejenigen, die sie sich ansehen, anzurufen.
An diejenigen von Ihnen, die sich Fotos ansehen, die ich vor Jahren mit meinem Mann in der Privatsphäre unseres Hauses gemacht habe, ich hoffe, Sie fühlen sich gut.
– Mary E. Winstead (@M_E_Winstead) 31. August 2014
Sie musste sich jedoch schließlich von der Plattform zurückziehen, um den beleidigenden Nachrichten zu entkommen, die sie erhielt
Macht eine Internetpause. Fühlen Sie sich frei, meine @'s zu besuchen, um einen Eindruck davon zu bekommen, wie es ist, eine Frau zu sein, die auf Twitter über alles spricht
– Mary E. Winstead (@M_E_Winstead) 1. September 2014
So verkaufen Sie Ihre eigenen Spiele auf Steam
Die Sprecherin von Jennifer Lawrence hat bereits angekündigt, gegen jeden, der die Fotos verbreitet, rechtliche Schritte einzuleiten.
Dies ist eine eklatante Verletzung der Privatsphäre. Die Behörden wurden kontaktiert und werden jeden strafrechtlich verfolgen, der die gestohlenen Fotos von Jennifer Lawrence veröffentlicht, sagten sie.
Im Jahr 2011 wurden ähnliche Maßnahmen ergriffen, als die E-Mails von 50 Prominenten, darunter Scarlett Johansson und Christina Aguilera, gehackt und Nacktfotos gestohlen und öffentlich verbreitet wurden.
Nach einer FBI-Untersuchung wurde der Täter, Christopher Chaney aus Jacksonville, Florida, zu zehn Jahren Gefängnis verurteilt.
Sicherheitsmaßnahmen
wie man Rollen in Zwietracht zuweist
Während Nicht-Prominente ihre Nacktfotos weniger verbreitet haben als die einer berühmten Person, kann dies immer noch passieren.
Sicherheitsexperten haben gesagt, dass dieser Vorfall als Erinnerung an die Bedeutung wirksamer Sicherheitsmaßnahmen für jeden Online-Dienst dienen sollte und Benutzer dazu anregen sollte, darauf zu achten, was in die Cloud hochgeladen wird.
Da die heutigen Geräte sehr daran interessiert sind, Daten an ihre eigenen jeweiligen Cloud-Dienste zu übertragen, sollten die Leute darauf achten, dass sensible Medien nicht automatisch ins Internet oder andere gekoppelte Geräte hochgeladen werden, sagte Chris Boyd, Malware-Intelligence-Analyst bei MalwarebytesPC Pro.
Ferguson meinte, es sei möglich, dass die Opfer des Angriffs vergessen oder nicht bemerkt hatten, dass Apple Fotos im iPhone- oder iPad-Fotostream eines Benutzers automatisch mit ihrer iCloud synchronisiert.
In diesem Fall scheinen einige der Opfer geglaubt zu haben, dass das Löschen der Fotos von ihren Telefonen ausreicht, sagte er.
Sowohl Boyd als auch Ferguson empfehlen herauszufinden, ob und wie Backups oder Schattenkopien von Daten, die in einem Cloud-Dienst gespeichert sind, erstellt und wie diese verwaltet werden können.
Stefano Ortolani, Sicherheitsforscher bei Kaspersky Lab, schlug den Benutzern außerdem vor, die in der Cloud gespeicherten Daten auszuwählen und die automatische Synchronisierung zu deaktivieren.
Man könnte auch argumentieren, dass Smartphones, die ständig mit dem Internet verbunden sind, nicht der beste Ort für Nacktfotos sind, sagte Boyd – eine Meinung, die von Cluley und Ferguson wiederholt wird.
PC Prokontaktierte Apple, um zu fragen, ob das Unternehmen von einem groß angelegten Hack seines iCloud-Dienstes wusste, hatte aber zum Zeitpunkt der Veröffentlichung keine Antwort erhalten.