ComputerBase Menü
Aktuelles

News Apple schließt Sicherheitslücke für „iCloud Hack“

Opfer haben niemals selber schuld! Die Schuld trägt immer der Täter, solche Sprüche sind widerlichst!
Es mag naiv und etwas fahrlässig sein, mehr nicht! Zumal wohl Autosync angeschaltet ist wie mir hier gesagt wurde.

Außerdem dürfte das für den Hacker trotz Fehler von Apple richtig teuer werden, falls sie ihn erwischen.
 
Crescender schrieb:
Es bestätigt mich ansonsten nur in allem, was ich über die Cloud gelernt habe: sie ist nicht sicher, keine sensiblen Daten in die Cloud!
Zum Vergrößern anklicken....

Es gibt keine Cloud, das ist nur ein Marketing-Begriff und keine Technologie. Es sind Server und Dienste im Internet, mit all ihren Problemen und Tücken, die es auch schon gab, bevor das Wort "Cloud" entdeckt wurde. Neu ist, dass Anbieter immer mehr dazu übergehen, alles über Server zu synchronisieren. Aber Apple hat es einfach verbockt und gezeigt, dass Angebote und Dienste im Internet inhärent unsicher sind. Ob Cloud oder nicht spielt da keine Rolle. Das wäre auch passiert, wenn der Service nicht iCloud, sondern "dein persönlicher Synchronisierungs-FTP" genannt worden wäre.
 
Schreckenstein schrieb:
Opfer haben niemals selber schuld! Die Schuld trägt immer der Täter, solche Sprüche sind widerlichst!
Es mag naiv und etwas fahrlässig sein, mehr nicht! Zumal wohl Autosync angeschaltet ist wie mir hier gesagt wurde.
Zum Vergrößern anklicken....

Beim allen Respekt, aber das ist nicht nur fahrlässig. Nackfotos in die Cloud zu laden und die dann noch mit einem Passwort à la "1234" zu sicher ist so ziemlich das dümmste, was man mit der Cloud überhaupt anstellen kann.
Klar ist der Täter der Schuldige und Apple hätte das ganze auch leicht verhindern können, aber bevor ich meine Privatsphäre in die Hände anderer lege und diesen blind vertraue, sorge ich erstmal dafür, dass ich auch meinen Teil in Punkto Sicherheit erfüllt habe und schaffe mir ein ordentliches Passwort an (erst recht als Person des öffentlichen Interesses)
 
@Schreckenstein

Im Bezug auf das digitale Zeitalter haben sehr wohl auch Opfer häufig selbst Schuld. Man denke nur mal an diese ganzen Personen, die auf Links in den übelst zwielichtigen E-Mails klicken. Da wird ohne Sinn und Verstand alles angeklickt und dann werden auch noch freiwillig die persönlichsten Daten (inkl. Bankdaten) direkt den Verbrechern auf dem Silberteller serviert.
In Bezug auf die Sicherheit von ihren Diensten können Firmen ja erzählen was sie wollen, aber meist ist da das Marketinggeschwafel sicherer als die Dienste die angeboten werden.
Und wer seine Daten in der Cloud wirklich sicher haben möchte, der sollte sich sowas wie einen TrueCrypt-Container anlegen und diesen dann hochladen. So kann auch kein Dienst die hochgeladenen Dateien durchsuchen.
Falls die betroffenen Promis auch noch die Funktions aktiviert hatten, dass sämtliche Medien auch noch automatisch zu Apple's iCloud hochgeladen werden, dann ist das auch nicht gerade eine Meisterleistung in Bezug auf solche heiklen Daten.

Apple hat sich klar hier nen Ei selbst gelegt. Ich hoffe die betroffenen Personen werden sich da rechtlich gegen Apple wehren, denn immerhin ist so eine Schwachstelle bei so einer großen Firma wie Apple, und ganz allgemein in der heutigen Zeit, peinlich. Das ist nichts anderes als Schlamperei.
 
iSight2TheBlind schrieb:
@Der Puritaner
Dann muss die Netzwerktechnikerausbildung schon etwas länger her sein, denn ein Konto für alles ist doch schon seit einer Ewigkeit die Richtung in die es geht.
Man kann sich schon gefühlt ewig bei Google mit einem Benutzerkonto in alle Dienste einloggen und dass man sich mit seinem Facebook-Account beispielsweise bei Spotify oder Disqus einloggen kann anstatt für jeden Dienst im Web ein eigenes Profil einzurichten ist auch ein großer Gewinn an Komfort gewesen.
Zum Vergrößern anklicken....
@iSight2TheBlind, das kann man wohl so machen aber sinnvoll ist es nicht, wie die Erfahrung gezeigt hat, für alles ein und das selbe Passwort zu verwenden spätestens seit der Heartbleed OpenSSL-Sicherheitslücke wissen wir alle, das dass mehrfach verwenden von Passwörtern eher noch den Hackern in die Hände spielt und das man so etwas tunlichst vermeiden sollte.

iSight2TheBlind schrieb:
Also jetzt nicht Lachen sondern besser erstmal schauen ob man selber durch ähnliches Vorgehen angreifbar ist bzw. als Privatperson hinterfragen welche Daten man sinnvoll in einer Cloud speichern sollte und welche nicht.
Zum Vergrößern anklicken....
Ich habe mittlerweile 12 - 18 Stellige Passwörter nicht nur Privat sondern auch auf der Arbeit eingeführt sofern es möglich ist, mag mich jemand auch verrückt nennen besser ist das.
 
Coca_Cola schrieb:
Mir scheint das man für Hollywood nicht viel Intelligenz mitbringen muss. Anders kann ich es mir nicht vorstellen warum man so blöd ist und solche Fotos auf einem Cloadservice speichert.
Zum Vergrößern anklicken....

Auto-Sync war halt an. Glaub das ist sogar automatisch an :o
(grad kein eifon zum vergleich vorhanden, bei android ist es nur ein kleiner, unscheinbarer haken - und der ist nichtmal in der cam-app, sondern irgendwo bei google einstellungen (auto-sync))

Ich kann zu dem Thema nur sagen: Ein hoch auf die Cloud ! :D
 
Man bräuchte jetzt mal ne Statistik über die Anzahl der Löschungen in der iCloud. Dann weiß man wieviele Nacktfotos die Leute so hochladen und jetzt schnell löschen wollen ^^.
 
Der Puritaner schrieb:
Ich habe mittlerweile 12 - 18 Stellige Passwörter nicht nur Privat sondern auch auf der Arbeit eingeführt sofern es möglich ist, mag mich jemand auch verrückt nennen besser ist das.
Zum Vergrößern anklicken....
ich steck dir einfach so einen kleinen dongle an die tastatur. da kann dein pw 12mio stellig sein....
wirst du nie und nimmer mitbekommen und ist ne 2sec sache.
gibt sogar welche mit wlan inzwischen.

sicherheit ist ein trugschluss.

btw. mir ist aufgefallen das vor allem frauen naktbilder auf dem handy haben. fast jede frau, die ich kenne hat welche aufm handy. vor allem die "geilen". hab erst letztens bei ner freundin mal ausversehn ins falsche album geschaut ^^


das positive an der sache ist die "sensibilisierung" für auto-syncs in die cloud. ich hoffe die hersteller aktivieren das nicht mehr standardmäßig.
selbst als erfahrener anwender muss man da teilweise höllisch aufpassen.v
vor allem bekommt mans teilweise nichtmal mit was jetzt genau online ist und was nicht....
 
Schreckenstein schrieb:
Opfer haben niemals selber schuld! Die Schuld trägt immer der Täter, solche Sprüche sind widerlichst!
Es mag naiv und etwas fahrlässig sein, mehr nicht! Zumal wohl Autosync angeschaltet ist wie mir hier gesagt wurde.
Zum Vergrößern anklicken....

Das sehe ich ein wenig anders. Natürlich haben die Hacker einen kriminellen Akt begangen und müssen dafür belangt werden. Aber mit den Opfern habe ich ob deren Dummheit wenig Mitleid und damit einhergehend auch wenig Verständnis für deren Empörung. Wenn ich intime Fotos für mich und meinen Partner schießen möchte, dann benutze ich einfach kein Gerät und keine App, die diese Fotos in irgendeine Cloud lädt, und speichere diese Fotos auch nicht in der Cloud. Du kannst sagen was du willst, irgendwie sind die Fotos doch in der Cloud gelandet, und das haben die Anwender schon selber verbockt. Private Fotos in der Cloud zu speichern ist ungefähr so, als ließe man sein Auto offen stehen: Diebstahl bleibt Diebstahl und somit ein krimineller Akt, der zu verfolgen ist, aber wenn ich mein Auto offen stehen lasse oder private Daten in einer mehr oder weniger unsicheren Cloud speichere, dann habe ich meine sechs Sinne doch auch nicht beisammen. Ein bisschen Verstand darf man von den Anwendern schon erwarten.
 
Ich fühle zwar mit ihnen und so übel das für die betroffenen Frauen auch ist, so kann ich über die gezeigte Naivität nur den Kopf schütteln. Gerade als Schauspielerin und Model sollte man doch wissen, dass man so etwas nicht knipsen/filmen soll. Schließlich ist es nicht das erste Mal, dass jemand Nacktfotos/videos eines Promis entwendet und veröffentlicht hat.

thomaso66 schrieb:
Tja was soll man dazu nun sagen wenn betroffene nun schreiben sie nutzen gar nicht Apple Produkte sondern Android?
Zum Vergrößern anklicken....
Die ehemals verfügbare (und hier im Beitrag abgebildete) Liste ist unbestätigt und stammt vom Verbreiter der Nacktfotos. Ich glaube kaum, dass man dieser Person trauen kann, schon alleine vor dem Hintergrund, dass dieser ursprünglich Teile der Sammlung gegen Bitcoins verkaufen wollte. Das zeigt doch wie wenig verlässlich die im Netz verfügbaren Informationen zu den betroffenen Promis wirklich sind.

Trotzdem muss ein Teil davon ja echt sein, immerhin hat Mary-Elizabeth Winstead auf Twitter bekannt gegeben, dass ihre Fotos vom Ehemann gemacht wurden und scheinbar auch schon vor langer Zeit gelöscht worden sind. Das Management von Jennifer Lawrence hat die Echtheit auch so gut wie bestätigt, denn die Aussage "the authorities have been contacted and will prosecute anyone who posts the stolen photos" lässt für mich keinen anderen Schluss zu.


Der Hack. Es gibt seit mehr als 15 Jahren SQL-Injections. Mit dem Apple Hack hat das natürlich gar nichts zu tun, aber spätestens seit Ende der 1990er Jahre muss jedem Entwickler und Admin klar sein, dass HTTP-basierte Dienste (und nichts anderes ist die betroffene API/Anwendungsschnittstelle) den häufigsten Angriffen ausgesetzt sind. Die Entwickler der "Find my iPhone" Funktion haben entweder studiert oder sie haben mehrere Jahre Erfahrung in ihrem Beruf, also sollte man eigentlich erwarten können, dass sie klüger sind als der durchschnittliche Hobbyprogrammierer. Wie Apple aus dieser Angelegenheit davonkommen wird, das weiß ich nicht, aber aus der Sicht eines Entwicklers ist die offengelegte Schwachstelle sehr peinlich.

Die Promis. Fehler #1, das Passwort. Man sollte zu Beginn unbedingt erwähnen, dass die privaten Fotos ja nur von jenen Personen eingesehen werden konnten, die ein nutzloses Passwort verwendet haben. Während man beim Brute-Forcen auf dem lokalen Gerät bis zu mehrere hundert Tausend oder sogar Millionen an Passwörter pro Sekunde probieren kann, so ist dies über das Internet nicht möglich. Das würde einerseits viel zu lange dauern, andererseits wäre es Apple wahrscheinlich aufgefallen, wenn dies im größeren Stil betrieben worden wäre. Fehler #2, die Nacktbilder (und eventuell sogar Videos). Wenn ich im Licht der Öffentlichkeit stehe, dann muss ich damit rechnen, dass sich bestimmte Leute auch jenseits der legal erlaubten Wege für mich interessieren. Bevor ich mit meinem Smartphone also ein paar nackte Selfies mache, würde ich mir auf jeden Fall die Frage stellen, ob ich es mir leisten könnte, wenn das Foto an die Öffentlichkeit gelangt. Dazu muss man ja nicht unbedingt ein kluger Hacker sein, denn es reicht schon, dass mir mein Smartphone zum Beispiel im Restaurant oder in einer Bar geklaut wird.
 
Sind doch eh tausende Bilder im Netz meist von Frauen die irgendwer da gegen deren Willen hochgeladen hat. Aber weil es jetzt Menschen erster klasse sind aka Promis sind die admins und mods und google auf einmal voll fleißig am löschen. Ich bezweifele mal dass man sich die selbe Arbeit machen würde wenn es nur 100 Frauen irgendwo aus Deutschland wären die kein Schwanz kennt .
 
Ich bin etwas geschockt wie schnell sich bei der Aktion das Netz organisiert hat und die Bilder und Videos zur Verfügung stellt. Ich wollte eigentlich nur ein paar Bilder schauen (man ist ja neugierig) und bin so einfach an eine große Zip Datei gelangt, die unser alter Freund in Neuseeland hostet. 800MB Nacktbilder und Videos.
Es sollte für jeden eine Warnung sein keine Bilder in die Cloud zu laden, die sonst niemand sehen soll.
Was mir bleibt ist, dass meine Freundin schärfer als Kate Upton ist, zumnindest sieht sie besser aus wenn ich sie mit dem iPhone fotografiere.
 
Wiggum schrieb:
Das hat wohl eher damit zu tun das (bei allen mobil OS) der Auto-Upload von Bildern in die Cloud Standardmäßig aktiviert ist.
Zum Vergrößern anklicken....
Bei meinem WP iund auch Android wurde noch kein Bild automatisch in die Cloud geladen. Weder bei Skydrive noch bei Google Drive.
 
@MXE
Wobei die Daten aus der Datei die du beschreibst nicht so eindeutig aus der iCloud stammen können.

Photostream, welches übrigens soweit ich mich erinnere nicht automatisch beim Aktivieren von iCloud eingeschaltet ist, speichert nur Bilder - und die wohl üblicherweise auch nur für 30 Tage. Videos können auf diesem Wege nicht "geerntet" worden sein.
Das heißt, dass entweder nicht alle oder gar keine Daten dieses Hacks aus iCloud stammen können - es gibt ja auch den Twitterkommentar einer Frau die in diversen Leaksammlungen vorhanden sein soll, die aber zum einen Android nutzt und zum anderen ziemlich deutlich sagt, dass die Bilder von ihr ein Fake seien - oder er muss deutlich zeitaufwendiger gewesen sein.

Um Bilder aus Photostream zu ernten installiert man einfach das iCloud Control Panel unter Windows, gibt die Daten eines iCloud-Accounts ein und wartet dann, bis die Anwendung die in Photostream gespeicherten Bilder unter Eigene Dateien gespeichert hat. Das ist ein Aufwand von wenigen Minuten, natürlich ohne die Zeit für das Bruteforcen der Passwörter.

Um aber an Videos zu kommen muss die Ernteprozedur völlig anders aussehen und wird deutlich zeitaufwendiger.
Videos können zwar auch in iCloud gespeichert sein, sind dann aber nur Teil des iPhone-Backups.
Um an diese heranzukommen müsste jemand mit den durch Bruteforcing herausgefundenen Zugangsdaten ein iPhone zurücksetzen und aus dem iCloud-Backup neu aufsetzen.
Das dauert jedoch wesentlich länger als der Zugriff mit dem iCloud Control Panel auf Bilder, da wie gesagt das Gerät komplett zurückgesetzt wird und dann erst Mal einige Hundert Megabyte Backup via WLAN (in welches man sich auch noch einloggen muss) aus der Cloud lädt.
Anschließend schließt man das Gerät dann noch an einen Rechner an und transferiert die Bilder und Videos via Explorer auf den eigenen Rechner.

Kein Ding der Unmöglichkeit, aber so werden aus wenigen Minuten pro Ziel, teilweise sicherlich unter 5 Minuten, locker 20-30 Minuten.
Theoretisch müsste dabei aber auch noch ein anderes Gerät Ziels - also beispielsweise das Original-iPhone des Stars - melden, dass ein anderes Gerät gerade aus einem Backup des iCloud Accounts wiederhergestellt wurde oder zumindest - wenn der Hacker diesen Dienst aktiviert - dass iMessage/Facetime auf einem anderen Gerät aktiviert wurde.

Und ich würde eigentlich stark davon ausgehen, dass der/ein Hacker sich auch den Spaß gemacht hat iMessage-Konversationen mitzulesen.
(Wobei dabei nur zukünftige Nachrichten angezeigt werden, soweit ich mich erinnere, da die Nachrichten mit einem gerätespezifischen Schlüssel für jedes auf den Account registrierte Gerät bei Apple gespeichert werden und das neu hinzugefügte Gerät des Hackers erst ab dem Moment einen eigenen Schlüssel und damit auch eine eigene entschlüsselbare Kopie einer iMessage bekommt).
 
Schreckenstein schrieb:
Willkommen auf meiner Ignoreliste. Wer Opfer zu Tätern macht hat eine pervertierte Weltsicht.
Zum Vergrößern anklicken....
Bezüglich deiner Weltsicht ist aber auch nicht hilfreich, wenn du Meinungen, die deiner Weltsicht nicht entsprechen, einfach ausblendest. Pippi Langstrumpf konnte das auch "ich mach mir die welt wie sie mir gefällt".
 
thomaso66 schrieb:
Tja was soll man dazu nun sagen wenn betroffene nun schreiben sie nutzen gar nicht Apple Produkte sondern Android?
Trisha Hershberger auf Twitter
http://pic.twitter.com/1ZMzUjtCTl
Zum Vergrößern anklicken....
Hehe, coole Reaktion :o) ...also alles nur eine geschickte Aktion um Apples iCloud in den Dreck zu ziehen? Evtl. sogar von Mitbewerbern? ...gibt es neben ihr noch andere, die "ihre leaks" als Fake entlarvt haben?
 
Ich bin auch nicht so glücklich über die Clowd. Anderseits ist es schon toll, alle Fotos, welche mit dem Handy gemacht wurden, immer griffbereit zu haben. Wer dort aber Nacktfotos liegen lässt, ist selbst schuld. Vor Allem Prominente sollten sich immer bewusst sein, dass es viele Leute giebt, die daraus Profit schlagen wollen.
BTW: hat Irgendjemand schon schon auch nur ein gestohlenes Bild gesehen?
 
@Smagjus
Schreckenstein hat doch recht.
So eine Aktion und das sich sofort verbreitende Motto "The Fappening", samt ständigem Reupload der Bilder zeigen nur, dass manche Mens...Männer allein schwanzgesteuert sind und jedes Unrecht dulden, solange sich nur was in der Hose regt.

Die Fälle in denen ein betrunkenes Mädchen auf einer Party ohne ihre Zustimmung begrabscht wird oder noch schlimmere Sachen erlebt sind kein harmloser Spaß und trotzdem stehen grölende Typen daneben und schauen zu.
Und wie man an "Events" wie diesem sieht ist die Grenze zwischen Gesetzeskonformität und Gaffen hauchdünn.

@oxe23
Apple nimmt sich eigentlich immer bei allen Problemen immer einige Tage Zeit um das Problem ganz zu analysieren bevor sie eine ausführliche Antwort geben, so dass man zumindest aus der Richtung momentan noch nicht mehr hört als dass sie sich die Sache anschauen.

Bis dahin haben wir nur einen wohl offensichtlich existierenden - und nun geschlossenen - Weg um per Bruteforce iCloud-Passwörter zu gewinnen.

Ob die Bilder daher stammen kann außer demjenigen der die ursprüngliche Sammlung hochlud niemand sagen.

Mittlerweile kann man aber stark davon ausgehen, dass nicht jedes Bild welches als eines von "The Fappening" ausgegeben wird auch eines ist, einfach weil jemand der jetzt ein paar "Originalbilder" hochlädt noch ein paar Bilder aus einer anderen Quelle oder auch Fakes dazupacken kann und sich ehrlich gesagt niemand für den Unterschied interessiert, weil das Blut eh gerade woanders ist.
 
Nur um das hier mal so zu sagen, wie ich es nach etwas Recherche nun sehe:

Die Bilder wurden nicht jetzt aus iCloud gestohlen. Zudem stammen nicht mal alle aus der iCloud.

Der in den Medien jetzt so gross angekündigte grosse Leak ist offenbar in Wahrheit eine über Jahre zusammengestellte Sammlung. So wies aussieht, gab es einen exklusiven Tauschkreis, über den man sich nur mit anderen echten Bildern einkaufen konnte, daher wussten so wenige darüber, weil ja nicht viele Leute echte Fotos besassen. Ausserdem wurden die BIlder meist einfach nur gegen Bitcoins verkauft. Die wenigen Leute die dort waren, hatten die Fotos halt aus sehr vielen verschiedenen Quellen (was dann auch erklärt, wieso es sein kann, dass Fotos von Stars im Leak sind, welche keine Apple Produkte verwenden).

Offenbar hat nun jemand der in diesem Kreis war einige Bilder in die Öffentlichkeit geschleust, inklusive entsprechenden Konversationsauszügen, um die Echtheit der Bilder (und gleichzeitig der Existenz des Ringes) zu bestätigen. Es waren zwar nur sehr wenige Bilder, aber die Restlichen Mitglieder merkten wohl, dass man damit nichts mehr verdienen kann, und veröffentlichten die anderen Bilder auch, teilweise mit spendenaufruf oder ähnlichem. Das erklärt auch, wieso nicht eine Person alle Bilder auf einmal veröffntlicht hat. Die Bilder wurden langsam eines nach dem anderen von verschiedenen Personen veröffentlicht, nicht alle auf einmal von einer Person.

Zudem wurden Bilder veröffentlicht, von welchen die betroffene Person bestätigt hat, dass sie alle Versionen dieses Bildes schon vor einem Jahr gelöscht hat und sie es sich nicht erklären kann wie "der Hacker" an dieses Bild gekommen ist. Ist er gar nicht, das Bild ist halt schon so lange im Umlauf, allerdings in einem kleinen Rahmen. Das einzige was passiert ist, ist dass die Öffentlichkeit halt erst jetzt davon erfahren hat.

Man kann also erwarten, dass wir in den nächsten Tagen noch einen kleinen Anstieg an Leaks haben werden, denn ich gehe mal davon aus, dass die ursprünglich veröffentlichte Liste mit Namen korrekt ist. Das heisst, es fehlen doch noch einige Namen. Die Frage ist dann einfach ob der/die Besitzer dieser BIlder diese auch veröffentlichen, oder ob diese unter Verschluss bleiben. Denn dass diese existieren glaube ich eigentlich schon...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
Notiz iOS 15.0.2 und iPadOS 15.0.2: Apple schließt Sicherheitslücke auf dem iPhone und iPad
2 3
Antworten
56
Aufrufe
18.657
merlin123
merlin123
Sasan
News Apple schließt Sicherheitslücke auch unter OS X
2
Antworten
22
Aufrufe
8.749
Piktogramm
Piktogramm

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz