Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Password Breaker: iCloud-Daten ohne Apple ID laden

Das russische Unternehmen Elcomsoft hat eine neue Version des Phone Password Breaker veröffentlicht, die erstmals iCloud-Daten ohne Apple ID abgreifen kann. Bislang war die Software für Ermittlungsbehörden nur in der Lage, Daten der iCloud mithilfe der Apple ID herunterzuladen. In der neuen Version ist dies auch ohne Apple ID möglich, wenn der Zugriff auf einen Computer mit USB und aktiviertem iCloud besteht. In diesem Fall können die Angreifer durch ein Sicherheitsleck ein sogenanntes Authentifizierungs-Token abgreifen, das in OS X und Windows verwendet wird, um sich gegenüber den iCloud-Servern zu identifizieren.

Mit dem Token lassen sich alle in iCloud hinterlegten Daten abrufen, selbst wenn diese auf dem betreffenden Computer nicht eingerichtet sind. Ungültig wird das Token nur nach Ablauf einer bestimmten Zeitspanne. Wenn der Nutzer sich in den Systemeinstellungen von iCloud abmeldet, werden Token zwar gelöscht, aber nicht invalidiert. Sofern Angreifer also gelöschte Daten wiederherstellen können, ist weiterhin der Zugriff auf die iCloud möglich.


Einzig die Änderung des iCloud-Kennworts macht Token mit sofortiger Wirkung unbrauchbar und lässt damit diesen Angriff ins Leere laufen. Um eine signifikante Verbesserung der Sicherheit zu erreichen, ist Apple gefordert. Beispielsweise könnten Token bereits beim Abmelden invalidiert werden. Zudem ließe sich auch die Zeitspanne für den Ablauf reduzieren. Am wichtigsten wäre aber die Maßnahme, Token besser gegen unberechtigten Zugriff zu schützen.

Weiterführende Links:
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
macOS 15 Sequoia: Netzwerkprobleme und Verbindungsabbrüche sorgen für Frust
macOS 15 Sequoia: Netzwerkprobleme und Verbindu...
Leak: Der neue Mac mini M4 ist bei Amazon durchgesickert – samt Bildern und Spezifikation
Leak: Der neue Mac mini M4 ist bei Amazon durch...
macOS 15 Sequoia ist da – Apple hat den Startschuss gegeben
macOS 15 Sequoia ist da – Apple hat den Startsc...
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
Erwartetes Oktober-Event: Die wahrscheinlichen Neuerungen der Mac- und iPad-Veranstaltung
Erwartetes Oktober-Event: Die wahrscheinlichen ...

Kommentare

tintingari
tintingari18.06.14 11:27
Eine noch kürzere Zeitspanne würde zu noch unsichereren Passwörtern führen. Seit ich mein Passwort ca. 20x am Tag auf iPhone, iPad und Mac eingeben muss, habe ich mein sicheres Passwort in ein leichter zu tippendes geändert. Somit erreicht Apple mit der Invalidierung eigentlich nur eine Verschlimmbesserung.
0
Hannes Gnad
Hannes Gnad18.06.14 11:34
Und wieder mal: Physischer Zugriff gewinnt.
0
uLtRaFoX!
uLtRaFoX!18.06.14 11:49
Genau aus diesem Grund sind alle meine Macs mit Passwörtern geschützt. Ganz egal ob sie zu Hause stehen und sowieso keiner dran kommt.
0
LoCal
LoCal18.06.14 11:50
tintingari
Eine noch kürzere Zeitspanne würde zu noch unsichereren Passwörtern führen. Seit ich mein Passwort ca. 20x am Tag auf iPhone, iPad und Mac eingeben muss, habe ich mein sicheres Passwort in ein leichter zu tippendes geändert. Somit erreicht Apple mit der Invalidierung eigentlich nur eine Verschlimmbesserung.

Nur weil ein Passwort lang ist, bedeutet es nicht, dass nur schwer zu merken ist.
Ich habe sowas wie ein Passwort-Template, das besteht auf mehreren festen Teilen und dann wieder Teile, die dynamisch sind, aber im Kontext zum Login für mich einfach merkbar sind.

So habe ich mit jedem Account ein anderes Passwort, das aber trotzdem irgendwie immer das gleiche ist.

Und zum thema Passwort und länge:


http://xkcd.com/936/
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
LoCal
LoCal18.06.14 11:52
uLtRaFoX!
Genau aus diesem Grund sind alle meine Macs mit Passwörtern geschützt. Ganz egal ob sie zu Hause stehen und sowieso keiner dran kommt.

Ich hoffe für dich, dass Du auch das EFI-Passwort gesetzt hast, sonst ist dein Passwort bei physischem Zugriff nutzlos.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
PaulMuadDib18.06.14 12:08
Und selbst dann ist es nicht sicher. Wer Zugriff auf die Hardware macht, der kann eigentlich alles tun.
0
uLtRaFoX!
uLtRaFoX!18.06.14 12:09
LoCal
uLtRaFoX!
Genau aus diesem Grund sind alle meine Macs mit Passwörtern geschützt. Ganz egal ob sie zu Hause stehen und sowieso keiner dran kommt.
Ich hoffe für dich, dass Du auch das EFI-Passwort gesetzt hast, sonst ist dein Passwort bei physischem Zugriff nutzlos.
das ist ja ein guter Hinweis... Man kann ja mit der CD das Passwort zurücksetzen, gell...
Kannst du mir vielleicht noch kurz verraten, wie man das EFI-Passwort setzt? Wäre super!
0
Stresstest18.06.14 12:14
Bei den neueren System 10.8 und 10.9 über FileVault 2, welches in den Systemeinstellungen unter "Sicherheit" zu aktivieren ist.

Damit ist die komplette Festplatte verschlüsselt. Das OpenFirmware Passwort kann auch mit relativ einfachem Aufwand umgangen werden, wenn man physikalischen Zugriff auf den Rechner hat.

Bei HD-Verschlüsselung ist dann erst einmal Schicht im Schacht
0
o.wunder
o.wunder18.06.14 12:21
Auf dem Rechner mit aktivierter iCloud kann ich doch sogar selber ganz bequem die iCloud Daten einsehen. Auf dem Mac under der Library im Verzeichnis "Mobile Documents". Wo soll da das Kunststück sein?
0
BudSpencer18.06.14 12:21
uLtRaFoX!
LoCal
uLtRaFoX!
Genau aus diesem Grund sind alle meine Macs mit Passwörtern geschützt. Ganz egal ob sie zu Hause stehen und sowieso keiner dran kommt.
Ich hoffe für dich, dass Du auch das EFI-Passwort gesetzt hast, sonst ist dein Passwort bei physischem Zugriff nutzlos.
das ist ja ein guter Hinweis... Man kann ja mit der CD das Passwort zurücksetzen, gell...
Kannst du mir vielleicht noch kurz verraten, wie man das EFI-Passwort setzt? Wäre super!

Dafür braucht man nicht mal eine CD, einfach einen USB Stick mit Linux, Windows was auch immer dran.

http://www.giga.de/downloads/os-x-10-8-mountain-lion/tipps/firmware-kennwort-efi-passwort-unter-os-x-10-8-mountain-lion-und-os-x-10-7-lion-festlegen-tipp/
0
vewia
vewia18.06.14 12:28
Fuck the Cloud - was bin ich froh' dass ich auf den Zug nie aufgesprungen bin
0
Alex.S
Alex.S18.06.14 12:35
vewia
Fuck the Cloud - was bin ich froh' dass ich auf den Zug nie aufgesprungen bin
Aber du hast Email??
Not so good in German but I do know English and Spanish fluently. Warum ich es mit dem Deutsch überhaupt versuche? Weil ich in Deutschland arbeite! Lechón >:-]
0
LoCal
LoCal18.06.14 12:35
uLtRaFoX!
LoCal
uLtRaFoX!
Genau aus diesem Grund sind alle meine Macs mit Passwörtern geschützt. Ganz egal ob sie zu Hause stehen und sowieso keiner dran kommt.
Ich hoffe für dich, dass Du auch das EFI-Passwort gesetzt hast, sonst ist dein Passwort bei physischem Zugriff nutzlos.
das ist ja ein guter Hinweis... Man kann ja mit der CD das Passwort zurücksetzen, gell...
Kannst du mir vielleicht noch kurz verraten, wie man das EFI-Passwort setzt? Wäre super!

Zum zurücksetzen des Passworts von OS X brauchst Du keine CD, es genügt den Rechner mit CMD-S zu starten und das zu tun was zu tun ist Die Keychain bleibt aber dann weiterhin verschlossen und kann nur mit dem richtigem Passwort verwendet werden.

Das Firmware-Passwort kannst Du u.a. über die DVD/USB-Stick setzen.. Von DVD/USB-Stick wählen und unter Dienstprogramme wählen.

Aber die beste Methode hat @@Stresstest genannt: FileVault 2 nutzen
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
Cupertimo18.06.14 12:42
Problem bei FileVault ist doch aber, dass sich der verfügbare Festplattenplatz halbiert, oder ist das nicht mehr so? Gerade bei kleineren SSDs ist das ein K.O.-Kriterium
0
Hannes Gnad
Hannes Gnad18.06.14 12:57
FileVault 2 funktioniert ganz anders als das alte FileVault. Und es benötigt keinen zusätzlichen Plattenplatz.
0
Cupertimo18.06.14 13:02
Danke für die Info! Dann schau ich mir das nochmal an
0
ctismer
ctismer19.06.14 13:00
LoCal
Danke für den xkcd Link
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.