Promi-Hack Nacktbilder von Jennifer Lawrence und Co. waren leichte Beute
Das Schlupfloch, durch das ein Hacker Nacktfotos von zahlreichen Prominenten stehlen konnte, ist möglicherweise gefunden. Wie das amerikanische Technik-Blog "The Next Web" berichtet, hat Apple am Nachmittag ein Update für seinen Onlinespeicher-Dienst iCloud ausgeliefert. Die Lücke soll sich ausgerechnet im Diebstahlschutz von iPhone und iPad befunden haben.
Oscar-Preisträgerin Jennifer Lawrence, die Schauspielerin Mary Elizabeth Winstead, die Musik Stars Avril Lavigne, Rhianna und viele weitere Promis wurden wahrscheinlich wegen einer Sicherheitslücke in Apples iCloud und schlecht gewählter Passwörter im Internet bloß gestellt. Das lässt sich aus einem von einem anonymen Programmierer veröffentlichtes Hacker-Tool schließen.
Über Apples Online-Speicherdienst können Nutzer Fotos, Musikstücke und andere Dateien von iPhone, iPad und Mac auf einem Internet-Server speichern und anschließend auf anderen Apple-Geräten nutzen, ohne sie zuvor wieder herunterladen zu müssen.
Schwachstelle in Apples Diebstahlschutz
Eine weitere Funktion von iCloud ist der Dienst "Mein iPhone suchen". Gehen iPhone oder iPad verloren oder werden die Geräte gestohlen, lassen sie sich von einem anderen Computer aus orten und aus der Ferne sperren, die darauf befindlichen Daten lassen sich löschen.
Offensichtlich klaffte in der Sicherheitsfunktion aber eine eklatante Sicherheitslücke. Das veröffentlichte Tool zeigte, wie sich "Mein iPhone suchen" mit einer altbekannten Hacker-Attacke knacken lässt – einem sogenannten Brute-Force-Angriff.
iCloud mit brutaler Gewalt geknackt?
Dabei spielen Hacker mithilfe einer Software innerhalb weniger Sekunden Tausende Kombinationen aus Benutzername und Passwort durch. Die meisten Internetdienste haben sich gegen derartige Attacken abgesichert, indem sie nur eine begrenzte Anzahl von fehlgeschlagenen Login-Versuchen zulassen. Laut dem Autoren des Hacker-Tools ließ sich der Selbstschutz von "Mein iPhone suchen" aber umgehen. Einige Twitter-Nutzer hätten das Programm noch bis zum frühen Nachmittag erfolgreich nutzen können. Gegen 15 Uhr habe Apple ein Update eingespielt und die Schwachstelle geschlossen.
Ob das veröffentlichte Tool von dem Promi-Hacker stammt, ist derzeit noch unklar. Die Schwachstelle zeigt aber, dass die Nacktbilder auf diese Weise gestohlen worden sein könnten. Die Metadaten von einigen der Fotos sollen laut der britischen Zeitung "The Independent" zeigen, dass die meisten der Fotos mit einem Apple-Gerät aufgenommen wurden. Apple habe bislang keinen Kommentar zu einer möglichen Sicherheitslücke in iCloud abgeben wollen.
Schwache Passwörter sind ein gefundenes Fressen
Brute-Force-Angriffe können besonders erfolgreich sein, wenn der Benutzername zu einem Online-Konto bereits bekannt ist – wie bei iCloud ist das oft die Mail-Adresse. Darüber hinaus verwendeten die betroffenen Stars anscheinend schwache Passwörter. Denn Brute-Force-Programme greifen auf Listen mit besonders häufigen und einfachen Passwörtern zu, um einen Online-Account zu knacken.
Wer persönliche Daten in der Cloud ablegt, sollte stets die Regeln für ein sicheres Passwort befolgen oder einen Passwort-Manger nutzen. Zudem lassen sich auch Passwort-geschützte und verschlüsselte Dateien in die Cloud hochladen.