Apple schließt kritische Lücke bei Passwort-Wiederherstellung
Die Serie von entdeckten Sicherheitslücken bei Apple scheint nicht abzureißen: Nachdem der Konzern aus Cupertino vor Kurzem erst das Passcode-Sicherheitsproblem auf dem iPhone mit dem Update auf iOS 6.1.3 geschlossen hat und dieses einige Tage später in veränderter Form wiederkehrte, wurde nun eine neue Sicherheitslücke bekannt.
Wie die Internetseite The Verge berichtet, war es für die US-amerikanischen Kollegen mit Hilfe von einfach zu erfahrenen Informationen für kurze Zeit möglich, ein Apple-ID-Nutzerkonto mit einem neuen Passwort zu versehen. Dafür sollen laut dem Bericht die E-Mail-Adresse, das Geburtsdatum sowie eine spezielle URL des für die Kennwort-Wiederherstellung zuständigen Systems gereicht haben, um ein neues Passwort zu setzen.
Mit den entsprechenden Informationen ausgestattet, hatte der Angreifer Zugriff auf zahlreiche Dienste – unter anderem auf die Musiksammlung, Fotos, Dokumente und Kontakte des Nutzers. Abseits dessen war es dem Angreifer mittels der aktiven Einstellungen von „Meinen Mac suchen“ respektive „Mein iPhone suchen“ möglich, die Geräte zu sperren oder die darauf befindlichen Daten gar zu löschen.
Der iPhone-Hersteller reagierte auf diesen Zustand relativ schnell und versetzte die Passwort-Rücksetzung in den Wartungsmodus, um weitere Rücksetzungen und die mögliche Übernahme von Konten zu verhindern. „Apple nimmt die Privatsphäre der Kunden sehr ernst“, erklärte ein Apple-Sprecher gegenüber CNet. „Wir sind uns dieses Problems bewusst und arbeiten an seiner Behebung.“
Offenbar nicht von dem Exploit betroffen waren laut CNet jene Anwender, die sich bereits für die eben erst vom Konzern für Apple-ID-Nutzerkonten eingeführte Zwei-Faktor-Authentifizierung entschieden hatten. Sie erfordert für die Verwaltung der Apple ID – und insbesondere das Zurücksetzen des Passworts – neben dem Passwort einen vierstelligen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird.
Die Eingabe von Passwort und dem jeweiligen Verifizierungs-Code ist auch erforderlich, wenn Käufe über iTunes, Apples App Store oder iBookstore von einem neuen Gerät aus getätigt werden. Diese Zwei-Faktor-Authentifizierung ist jedoch in den meisten Ländern, darunter auch in Deutschland, noch gar nicht verfügbar.
Apple konnte die Sicherheitslücke noch am gleichen Tag schließen und hat die Rücksetzung vergessener Passwörter inzwischen wieder aktiviert. Ob die Sicherheitslücke bereits von Dritten in der Vergangenheit für Angriffe genutzt wurde, ist zu diesem Zeitpunkt noch nicht bekannt.