Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple schließt gefährliche Sicherheitslücke beim Passwort-Reset

Wer das Passwort seiner Apple-ID vergessen hat, kann dieses über Apples iForgot-Seite wieder zurücksetzen. Genau an dieser Stelle wurde eine gefährliche Sicherheitslücke bekannt. So war es über eine modifizierte URL möglich, nur durch Eingabe von Mail-Adresse und Geburtsdatum das Passwort zurückzusetzen und so Kontrolle über einen Account zu erlangen. Apple reagierte diesmal ziemlich schnell und traf Gegenmaßnahmen.

Nur Stunden nach Bekanntwerden dieser schwerwiegenden Sicherheitslücke deaktivierte Apple in der vergangenen Nacht die Reset-Seite und sprach stattdessen von Wartungsarbeiten. Jetzt steht die Funktion wieder zur Verfügung und es ist nicht mehr möglich, die Adresse so zu verändern, dass auf Sicherheitsfragen verzichtet und gleich der Passwort-Reset durchgeführt wird. Nicht bekannt ist, in welchem Umfang die Lücke bereits aktive Verwendung durch Angreifer fand.

Die Sicherheitslücke wurde am selben Tag bekannt, an dem Apple auch die Einführung einer neuen Zwei-Schritte-Anmeldung für bestimmte Dienste ankündigte. Diese ähnelt dem von Banken gern eingesetzten SMS-TAN-Verfahren und schickt nach Eingabe des Passwortes noch eine Nummer an ein registriertes Gerät. Die Funktion ist optional zu nutzen, steht allerdings noch nicht im deutschsprachigen Raum zur Verfügung. Zum Einsatz kommt die doppelte Abfrage unter anderem beim Kauf digitaler Inhalte über die Apple ID.

Weiterführende Links:

Kommentare

Br4No23.03.13 12:17
Shit happens.
0
DoubleU23.03.13 12:21
Bei Google bekomme ich sogar eine SMS zur Autorisation, wenn ich mich z. B. durch eine 3. App an deren Dienste anmelde.

Bei Apple war vor nicht allzu langer Zeit selbst der Wechsel aus iTunes (angemeldeter Status) zum Browser unverschlüsselt.
0
Liam198023.03.13 12:39
Aber das gehört doch auch zu den "Wartungsarbeiten" dazu, solche Sicherheitslücken zu schließen, wenn man mal welche entdeckt hat...
0
someone23.03.13 13:24
Immer wieder erstaunlich wie stuemperhafte Grosskonzerne agieren, dabei wuerde man eigentlich davon ausgehen dass man da genug Experten/Geld/Manpower hat um etwas Professionelles zu implementieren...
0
Gerhard Uhlhorn23.03.13 14:03
someone
Immer wieder erstaunlich wie stuemperhafte Grosskonzerne agieren, dabei wuerde man eigentlich davon ausgehen dass man da genug Experten/Geld/Manpower hat um etwas Professionelles zu implementieren...
Ja, deswegen gehe ich auch nie davon aus, dass etwas richtig oder gut ist, nur weil es von X oder von Y kommt. Denn auch dort werden Fehler gemacht.

Letztlich ist es so, dass auch in Großkonzernen und Behörden nur einzelne Menschen agieren. Und auch die können Fehler machen welche unentdeckt bleiben.

Deswegen: Alles hinterfragen!!!
0
o.wunder
o.wunder23.03.13 14:19
Apple sollte ehrlicher kommunizieren und sich nicht hinter Worthülsen verstecken.
0
Thunderbolt23.03.13 18:50
o.wunder

Wo und wie hat Apple in diesem Fall nicht ehrlich kommuniziert? Der Fehler wurde eingeräumt und innert Stunden gefixt.

Manche Leute meckern einfach aus Langeweile.
0
Mac-Harry.de
Mac-Harry.de24.03.13 18:42
Katastrophat, diese Lücken, denn sie war eklatant einfach und hätte massiven Schaden anrichten können für uns Nutzer. MTN kann sich diesmal auch nicht mit einer zeitnahen Berichterstattung rühmen. Da war Mac-Harry.de diesmal einen ganzen Tag schneller
0
MCDan25.03.13 09:42
Habe heute um 3:20 eine Mail von Apple zum Zurücksetzen meines Apple ID Passwords erhalten. Wer da wohl versucht hat meinen Account zu hacken.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.