Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Leo Becker 15

iCloud-Schlüsselbund: Schwachstelle ermöglichte Fremdzugriff auf Passwörter

MacBook-Tastatur

Bild: dpa, Karl-Josef Hildenbrand

Ein Sicherheitsforscher hat Details zu einer Lücke in Apples Ende-zu-Ende-Verschlüsselung genannt, die den zentralen iCloud-Schlüsselbund eigentlich vor Zugriffen durch Unbefugte absichern soll. Der Fehler ist bereits behoben.

Ein Fehler in Apples Verschlüsselungsprotokoll für iCloud-Keychain ermöglichte versierten Angreifern, auf die dort gespeicherten Nutzerdaten zuzugreifen – dazu gehören gewöhnlich Zugangsdaten, Passwörter und Kreditkartendaten. Durch Ausnutzung des Bugs könne ein Unbefugter alle in der Passwort-Verwaltung gespeicherten Zugangsdaten "im Klartext" einsehen, wie der Sicherheitsforscher Alex Radocea auf der Sicherheitskonferenz Black Hat ausführte.

Der Angriff erfolge für den Nutzer lautlos, dieser merke also nicht, dass ein neues Gerät auf seine iCloud-Keychain Zugriff erhält. Eigentlich müssen Nutzer jedes neue Gerät, das den iCloud-Schlüsselbund abgleichen will, erst von einem bereits bestätigten iPhone, iPad oder Mac aus autorisieren. Die Zugangsdaten werden laut Apple für jedes bestätigte Gerät speziell verschlüsselt, so dass ein anderer Computer – oder Apple – die Daten nicht einsehen kann.

iCloud Keychain
Apples Software-Chef bei der Einführung des iCloud-Schlüsselbundes im Jahr 2013. Vergrößern

Ein Fehler bei der Signatur-Verifikation in Apples angepasster Version des quelloffenen Verschlüsselungsprotokolls Off-the-Record (OTR) ermöglichte dem Angreifer aber, eine speziell manipulierte Signatur einzusetzen, die eigentlich abgelehnt werden sollte – durch den Bug aber akzeptiert wird, wie der Sicherheitsforscher erklärt. Auf diese Weise könne der Angreifer zwar kein neues iPhone für die Synchronisation anmelden, sich aber als ein bereits autorisiertes Gerät ausgeben und so die verschlüsselten Zugangsdaten auslesen. Der Fehler hat "auffällige Ähnlichkeiten" mit dem goto-Fail-Bug, erläuterte Radocea.

Angriff auf iCloud-Keychain komplex

Das Ausnutzen des Fehlers ist allerdings komplex, schränkte der Sicherheitsforscher gegenüber Mac & i ein: Der Angreifer benötige entweder Zugriff auf den iCloud-Account des Opfers, sprich durch Kenntnis der Zugangsdaten zu einem Benutzerkonto, das nicht durch Zwei-Faktor-Authentifizierung geschützt ist. Oder der Angreifer müsse durch einen Man-in-the-Middle-Angriff in der Lage sein, die TLS-Verbindungen des Nutzers auszuspionieren. Ein böswilliger Apple-Mitarbeiter mit Zugriff auf das Backend sei durch den OTR-Bug außerdem in einer Position, die eigentlich Ende-zu-Ende-verschlüsselten Keychain-Daten von Nutzern einzusehen.

Der iCloud-Keychain gehört zu den bislang wenigen iCloud-Diensten mit einer Ende-zu-Ende-Verschlüsselung, die generell verhindern soll, dass Dritte auf die Daten zugreifen können – darunter auch der Hersteller selbst. Viele andere iCloud-Dienste versenden und speichern ihre Daten zwar verschlüsselt, Apple hat dafür aber einen Schlüssel und rückt diese auf gerichtlich abgesegnete Anfragen mitunter auch heraus.

Schwachstelle seit iOS 10.3 im März geschlossen

Apple hat die von Radocea schon im Januar gemeldete Lücke mit iOS 10.3 im März 2017 “durch eine verbesserte Überprüfung” geschlossen. Dies gilt zumindest für Geräte, die das Update installieren können, sprich mindestens ein iPhone 5. In macOS respektive OS X wurde die Schwachstelle zu diesem Zeitpunkt ebenfalls beseitigt, hier gibt es – neben macOS 10.12. Sierra – auch ein Update für die älteren Versionen OS X 10.11 El Capitan und 10.10 Yosemite.

Der iCloud-Keychain-Bug hatte bislang wenig Aufmerksamkeit erhalten, da lange Zeit keine Details bekannt waren und es sich nur um einen Fehler unter insgesamt 70 Sicherheitslücken handelt, die iOS 10.3 beseitigt hat – darunter auch andere gravierende Schwachstellen. (lbe)

15 Kommentare

Themen:

Anzeige
  1. Apples iCloud-Schlüsselbund: Forensik-Tool soll Zugangsdaten auslesen

    Apples iCloud-Schlüsselbund: Forensik-Tool soll Zugangsdaten auslesen

    Die Software ermöglicht, in der iCloud-Keychain gespeicherten Zugangsdaten innerhalb weniger Minuten auszulesen, verspricht der Hersteller. Der Zugriff erfordert die Kenntnis des Apple-ID-Passworts sowie die Kontrolle über Apple-Hardware der Zielperson.

  2. WhatsApp verschlüsselt inzwischen Backups in der iCloud

    WhatsApp

    Die iPhone-App legte das Backup der Ende-zu-Ende-verschlüsselten Nachrichten bislang im Klartext auf Apples Servern ab und ermöglichte so Angreifern bei Kenntnis der iCloud-Zugangsdaten weitreichende Einblicke in die Kommunikation.

  3. WLAN-Lücke: Apple reicht Bugfix-Update für iOS 10.3 nach

    iPhone 7

    iOS 10.3.1 behebt einen schwerwiegenden Fehler, über den ein Angreifer Code auf dem WLAN-Chip ausführen könnte. Außerdem lassen sich 32-Bit-Versionen nun wieder direkt auf dem Gerät installieren.

  4. iOS 10.3 aktiviert unerwünschte iCloud-Funktionen

    iOS 10.3 aktiviert unerwünschte iCloud-Funktionen

    Durch einen Bug kann es vorkommen, dass nach dem Update Dienste angeschaltet werden, die der Nutzer gar nicht haben will. Apple empfiehlt eine Überprüfung.

  1. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  2. Apples 2016 – ein Jahr voller Tumulte

    Apple-Logo

    Es war ein schwieriges Jahr für den iPhone-Hersteller: Neben dem ersten Umsatzrückgang seit mehr als einer Dekade musste der Konzern mit Software-Problemen und heftiger Kritik an Produktentscheidungen kämpfen – zuletzt beim neuen MacBook Pro. Das zurückliegende Jahr verrät auch manches über Apples Zukunftspläne.

  3. Apple-ID: FAQ zum Erstellen, Wechseln und Löschen des Benutzerkontos

    Apple ID verwalten

    Für alle Apple-Dienste ist eine Apple-ID notwendig, von iCloud über iMessage bis zum Einkauf im App Store und iTunes Store. Nutzer stolpern dabei immer wieder über Probleme – Mac & i hat Lösungen zusammengestellt.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Luftschiff "Airlander 10" bei Havarie beschädigt

    Britisches Luftschiff reißt sich von Haltemast los

    Das Luftschiff "Airlander 10" hat sich von seinem Haltemast losgerissen und ist anschließend unsanft gelandet. Das Ausmaß der Schäden ist noch unklar.

  3. US-Einzelhändler wollen Teslas Elektro-Lastwagen testen

    US-Einzelhändler wollen Teslas Elektro-Lastwagen ausprobieren

    Unmittelbar nach der Vorstellung hat Tesla erste Interessenten für seinen elektrischen Lastwagen gefunden. Analysten trauen der Firma zu, den Markt umzukrempeln, obwohl bereits viele etablierte Konkurrenten in den Startlöchern stehen.

  4. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige