Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.685.380 Produkten

Leo Becker 15

iCloud-Schlüsselbund: Schwachstelle ermöglichte Fremdzugriff auf Passwörter

MacBook-Tastatur

Bild: dpa, Karl-Josef Hildenbrand

Ein Sicherheitsforscher hat Details zu einer Lücke in Apples Ende-zu-Ende-Verschlüsselung genannt, die den zentralen iCloud-Schlüsselbund eigentlich vor Zugriffen durch Unbefugte absichern soll. Der Fehler ist bereits behoben.

Ein Fehler in Apples Verschlüsselungsprotokoll für iCloud-Keychain ermöglichte versierten Angreifern, auf die dort gespeicherten Nutzerdaten zuzugreifen – dazu gehören gewöhnlich Zugangsdaten, Passwörter und Kreditkartendaten. Durch Ausnutzung des Bugs könne ein Unbefugter alle in der Passwort-Verwaltung gespeicherten Zugangsdaten "im Klartext" einsehen, wie der Sicherheitsforscher Alex Radocea auf der Sicherheitskonferenz Black Hat ausführte.

Anzeige

Der Angriff erfolge für den Nutzer lautlos, dieser merke also nicht, dass ein neues Gerät auf seine iCloud-Keychain Zugriff erhält. Eigentlich müssen Nutzer jedes neue Gerät, das den iCloud-Schlüsselbund abgleichen will, erst von einem bereits bestätigten iPhone, iPad oder Mac aus autorisieren. Die Zugangsdaten werden laut Apple für jedes bestätigte Gerät speziell verschlüsselt, so dass ein anderer Computer – oder Apple – die Daten nicht einsehen kann.

iCloud Keychain
Apples Software-Chef bei der Einführung des iCloud-Schlüsselbundes im Jahr 2013.

Ein Fehler bei der Signatur-Verifikation in Apples angepasster Version des quelloffenen Verschlüsselungsprotokolls Off-the-Record (OTR) ermöglichte dem Angreifer aber, eine speziell manipulierte Signatur einzusetzen, die eigentlich abgelehnt werden sollte – durch den Bug aber akzeptiert wird, wie der Sicherheitsforscher erklärt. Auf diese Weise könne der Angreifer zwar kein neues iPhone für die Synchronisation anmelden, sich aber als ein bereits autorisiertes Gerät ausgeben und so die verschlüsselten Zugangsdaten auslesen. Der Fehler hat "auffällige Ähnlichkeiten" mit dem goto-Fail-Bug, erläuterte Radocea.

Das Ausnutzen des Fehlers ist allerdings komplex, schränkte der Sicherheitsforscher gegenüber Mac & i ein: Der Angreifer benötige entweder Zugriff auf den iCloud-Account des Opfers, sprich durch Kenntnis der Zugangsdaten zu einem Benutzerkonto, das nicht durch Zwei-Faktor-Authentifizierung geschützt ist. Oder der Angreifer müsse durch einen Man-in-the-Middle-Angriff in der Lage sein, die TLS-Verbindungen des Nutzers auszuspionieren. Ein böswilliger Apple-Mitarbeiter mit Zugriff auf das Backend sei durch den OTR-Bug außerdem in einer Position, die eigentlich Ende-zu-Ende-verschlüsselten Keychain-Daten von Nutzern einzusehen.

Der iCloud-Keychain gehört zu den bislang wenigen iCloud-Diensten mit einer Ende-zu-Ende-Verschlüsselung, die generell verhindern soll, dass Dritte auf die Daten zugreifen können – darunter auch der Hersteller selbst. Viele andere iCloud-Dienste versenden und speichern ihre Daten zwar verschlüsselt, Apple hat dafür aber einen Schlüssel und rückt diese auf gerichtlich abgesegnete Anfragen mitunter auch heraus.

Apple hat die von Radocea schon im Januar gemeldete Lücke mit iOS 10.3 im März 2017 “durch eine verbesserte Überprüfung” geschlossen. Dies gilt zumindest für Geräte, die das Update installieren können, sprich mindestens ein iPhone 5. In macOS respektive OS X wurde die Schwachstelle zu diesem Zeitpunkt ebenfalls beseitigt, hier gibt es – neben macOS 10.12. Sierra – auch ein Update für die älteren Versionen OS X 10.11 El Capitan und 10.10 Yosemite.

Der iCloud-Keychain-Bug hatte bislang wenig Aufmerksamkeit erhalten, da lange Zeit keine Details bekannt waren und es sich nur um einen Fehler unter insgesamt 70 Sicherheitslücken handelt, die iOS 10.3 beseitigt hat – darunter auch andere gravierende Schwachstellen. (lbe)

15 Kommentare

Themen:

Anzeige
  1. Apples iCloud-Schlüsselbund: Forensik-Tool soll Zugangsdaten auslesen

    Apples iCloud-Schlüsselbund: Forensik-Tool soll Zugangsdaten auslesen

    Die Software ermöglicht, in der iCloud-Keychain gespeicherten Zugangsdaten innerhalb weniger Minuten auszulesen, verspricht der Hersteller. Der Zugriff erfordert die Kenntnis des Apple-ID-Passworts sowie die Kontrolle über Apple-Hardware der Zielperson.

  2. WhatsApp verschlüsselt inzwischen Backups in der iCloud

    WhatsApp

    Die iPhone-App legte das Backup der Ende-zu-Ende-verschlüsselten Nachrichten bislang im Klartext auf Apples Servern ab und ermöglichte so Angreifern bei Kenntnis der iCloud-Zugangsdaten weitreichende Einblicke in die Kommunikation.

  3. iOS 10.3 aktiviert unerwünschte iCloud-Funktionen

    iOS 10.3 aktiviert unerwünschte iCloud-Funktionen

    Durch einen Bug kann es vorkommen, dass nach dem Update Dienste angeschaltet werden, die der Nutzer gar nicht haben will. Apple empfiehlt eine Überprüfung.

  4. MacDownloader: Iranische Malware zielt auch auf Macs ab

    MacDownloader: Iranische Malware zielt auch auf Macs ab

    Die Malware wird gegen Menschenrechtler und Mitarbeiter von Rüstungsfirmen eingesetzt, erklären Sicherheitsforscher. Sie soll den Mac-Schlüsselbund mit den Zugangsdaten des Opfers an die angeblich iranischen Angreifer übermitteln.

  1. Apples 2016 – ein Jahr voller Tumulte

    Apple-Logo

    Es war ein schwieriges Jahr für den iPhone-Hersteller: Neben dem ersten Umsatzrückgang seit mehr als einer Dekade musste der Konzern mit Software-Problemen und heftiger Kritik an Produktentscheidungen kämpfen – zuletzt beim neuen MacBook Pro. Das zurückliegende Jahr verrät auch manches über Apples Zukunftspläne.

  2. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  3. Apple-ID: FAQ zum Erstellen, Wechseln und Löschen des Benutzerkontos

    Apple ID verwalten

    Für alle Apple-Dienste ist eine Apple-ID notwendig, von iCloud über iMessage bis zum Einkauf im App Store und iTunes Store. Nutzer stolpern dabei immer wieder über Probleme – Mac & i hat Lösungen zusammengestellt.

  1. Afrin: "Besorgt" und scheinheilig wegschauen

    Lieber "keine eigenen Erkenntnisse über den Einsatz von Leopard-Panzern"? Von den Schwierigkeiten der deutschen und der US-Regierung sich einzugestehen, wie wichtig ihnen Erdogan ist und vom weiten Weg der YPG zum Kompromiss mit Damaskus

  2. Next-Gen-Spielegrafik: Unity zeigt Techdemo Book of the Dead

    Echte Next-Gen-Spielegrafik: Unity zeigt Techdemo Book of the Dead

    Eine Gruppe von Unity-Entwicklern hat mit Book of the Dead eine Technikdemo erschaffen, die nur noch beim genauen Hinsehen von der Realität zu unterscheiden ist.

  3. HomePod: Apple bringt Siri-Lautsprecher im Frühjahr nach Deutschland

    HomePod

    Mit Verspätung steigt Apple in den Markt der "smarten" Lautsprecher ein: HomePod kommt Anfang Februar in ersten Ländern für 350 Dollar in den Handel. Wichtige Funktionen will der Hersteller erst per Software-Update nachliefern.

  4. DJI Mavic Air filmt in 4K und umfliegt selbstständig Hindernisse

    DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    Die Quadrocopter-Drohne DJI Mavic Air übernimmt viele Features der Mavic Pro, ist aber deutlich preiswerter. Hindernisse umfliegt sie, ohne dass der Pilot sich darum kümmern müsste.

Anzeige