Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iPhone-Lock: Hacker wollen Lücke gefunden haben

Hacker aus Marokko und den Niederlanden wollen eine Lücke im iPhone-Lock gefunden haben. Der iPhone-Lock dient dazu, bei einem Diebstahl oder sonstigen Verlust das iPhone mittels der iCloud-Funktion "Mein iPhone suchen" zuverlässig zu sperren. Den Hackern zufolge gibt es allerdings eine Lücke bei der Kommunikation mit den iCloud-Servern, die sich dazu verwenden lässt, den Lock auf dem Gerät zu entfernen. Dazu gibt sich ein zwischengeschalteter Computer als iCloud aus und übernimmt die Kommunikation mit dem iPhone.

Den Hackern zufolge wurde Apple bereits im März über das Sicherheitsproblem informiert, reagierte aber bislang nicht auf die Meldung. Daher sah man sich nun gezwungen, das Problem öffentlich zu machen. Nutzer sollten in Betracht ziehen, sensible Daten aufgrund mangelnder Sicherheit nicht auf dem iPhone oder iCloud zu speichern. Sicherheitsforscher gehen davon aus, dass Apple einige Zeit benötigen wird, um die Lücke im iPhone-Lock zu schließen.

Weiterführende Links:

Kommentare

Waldi
Waldi22.05.14 11:03
Sensible Daten nicht in der iCloud speichern!
Wer hätte das gedacht?
vanna laus amoris, pax drux bisgoris
0
dSquare
dSquare22.05.14 11:05
Den Hackern zufolge wurde Apple bereits im März über das Sicherheitsproblem informiert, reagierte aber bislang nicht auf die Meldung.

Das muss man nicht verstehen oder
0
hakken
hakken22.05.14 11:09
Unmöglich - im golden Apple-Käfig ist man sicher.

Nur der Jailbreak hat Risiken...
0
nane
nane22.05.14 11:32
Atomkraft und IT sind sichere und beherrschbare Technologien
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
nane
nane22.05.14 11:39
dSquare
Ostern, Ferien, Feiertage, Wochenenden - wir haben erst Mai. Ergo gerade mal ein Paar Wochen her.

1. Versuch mal so einen Fehler (Lücke) "nur" nachzustellen.
2. Dir eine Lösung für eine Gegenmassnahme auszudenken.
3. Diese Lösung wiederum zu testen.
4. Die Lösung zur Verfügung zu stellen.
5. Die Lösung zu kommunizieren

Denke dabei an:
1. Eine eine weltweite (Sprachen) Kommunikation.
2. Den Test sämtlicher Systemversionen (iOS, MacOS) und der gesamten Hardware auf denen die Lösung funktionieren soll.

Versuch das mal hin ein paar Wochen zu realisieren. Herzlichen Glückwunsch!
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
ArthurKMA22.05.14 11:51
Sehe ich auch so
0
doctourette
doctourette22.05.14 11:54
nane
dSquare
Ostern, Ferien, Feiertage, Wochenenden - wir haben erst Mai. Ergo gerade mal ein Paar Wochen her.

BWAHAHA!
Genau, die machen ja über Ostern sonst immer dicht bei Apple.
Real_men_don't_need_spacebars.
0
Walter Plinge22.05.14 12:13
@doctourette

Ich kenne keine Entwickler die Ostern arbeiten würden. Du etwa?
0
doctourette
doctourette22.05.14 12:21
Walter Plinge

Ich kenne jede Menge Berufsgruppen die Ostern arbeiten mussten, ich übrigens auch, wenn auch nicht als Entwickler.

Wo kämen wir wohl hin wenn alle frei hätten an Tagen, die andersfarbig im Kalender dargestellt sind?
Real_men_don't_need_spacebars.
0
zod198822.05.14 12:21
Waldi
Sensible Daten nicht in der iCloud speichern!
Wer hätte das gedacht?

Hast du überhaupt gelesen worum es geht? Ein Tipp: es geht nicht um sensible Daten in der Cloud.
0
chicken22.05.14 12:36
Ja Apple hat schon seit Jahren sehr viele Bereiche/Abteilungen über bestimmte Feiertage etc geschlossen, nichts außergewöhnliches und im Interesse der Angestellten und deren Familien. Natürlich arbeiten bestimmte Berufsgruppen quasi das ganze Jahr, egal ob Feiertag oder nicht - das ist leider so, aber das weiß der/die Betroffene eben selbst und entscheidet ob man dazu bereit ist. Und es ist gut so, dass es eben Leute gibt die auch an diesen Tagen ihren Beitrag leisten ! Das ist eben notwendig aber nicht selbstverständlich
0
Thomas Kaiser
Thomas Kaiser22.05.14 13:10
zod1988
Ein Tipp: es geht nicht um sensible Daten in der Cloud.

Noch ein Tipp (bzgl. MTN-Meldungen allgemein): Immer sowohl 9to5mac als auch appleinsider (da wo MTN eben 99% der Sachen aufschnappt) besuchen, wenn man den Kern der Sache erfassen will: (komplett lesen, vor allem die letzten 2 Absätze).

Es geht um das Abschnorcheln von Apple-ID samt Kennwort (und das betrifft selbstverständlich "sensible Daten in der Cloud") als auch noch und zusätzlich Umgehen des "Activation Lock" (und noch vieles andere mehr, wenn man die Tragweite einer solchen MitM-Attacke versucht zu begreifen: )

Und wer bspw. Geräte-Backups in der iCloud ablegt, riskiert schnell mal eben auch "sensible Daten", die man eigentlich als "lokal" verortet, weil die ganze ach so tolle iCloud-Security zu 100% damit steht und fällt, dass niemand außer Dir selbst Apple-ID plus Kennwort kennt (Backups als Angriffsvektor sind in der IT-Security ein dermaßen alter Hut, dass man sowas eigentlich nicht immer wieder erwähnen müsste. Aber da bedingt durch das ganze Cloud-Graffl heute faktisch totale IT-Laien auf einmal in IT-Security-Thematiken reingezogen werden, die sie nicht mal ansatzweise blicken...)
0
nane
nane22.05.14 13:19
doctourette
Habe ich geschrieben, dass Apple über Ostern dicht macht? *kopfschüttel*
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
doctourette
doctourette22.05.14 13:32
nane
nane
dSquare
Ostern, Ferien, Feiertage, Wochenenden - wir haben erst Mai. Ergo gerade mal ein Paar Wochen her.

Wozu sollte diese Aufzählung denn sonst gut gewesen sein?
Doch nur zu dem Zweck um Dir selbst und anderen das nicht fixen der Lücke schön zu quatschen.
*auf- und abhüpf*
Real_men_don't_need_spacebars.
0
dSquare
dSquare22.05.14 13:35
@nane

Da will ich dir auch gar nicht widersprechen..

Aber Apple hat die Meldung der "Hacker" ja scheinbar ignoriert bzw sich nicht bei denen gemeldet und diese haben sich nun dazu entschlossen das Problem öffentlich zu machen. Da kann man doch ganz sicher auch anders mit umgehen, vor allem wenn es schon Leute gibt die solche sicherheitsrelevanten Fehler entdecken und auch noch melden!
0
nane
nane22.05.14 14:11
doctourette
Wenn das alles für Dich so einfach ist, dann sprich nicht, handle und schick den Patch an Apple

dSquare
Ich will Apple jetzt nicht in Schutz nehmen, geben die Apple-Menschen aber zu, dass es eine "Lücke" gibt, dann riskieren die Produkthaftungs- und Schadensersatzklagen ohne Ende in den USA. Daher verhalten die sich möglichst lange, möglichst ruhig.
Wir wissen ja auch gar nicht, ob Apple nicht doch auf die "Hacker-Anfrage" reagiert hat. Vielleicht haben sie das, aber eben nicht so, wie die "Hacker" sich das vorgestellt haben?

Und Morgen stellt sich vielleicht heraus es war eine Ente. Oder der "Hack" funktioniert nur in Bielefeld und wir wissen alle, dass es Bielefeld gar nicht gibt
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
sierkb22.05.14 14:19
In dem Zusammenhang (wird im Artikel kurz erklärt) siehe auch:

heise (22.05.2014): Sicherheitsforscher: iTunes für Windows mit SSL-Lücke
Ende April hatte der iPhone-Hersteller eine Schwachstelle bei SSL-Verbindungen in iOS und OS X behoben. Doch der Fehler steckt angeblich nach wie vor in der Windows-Version von Apples Medienverwaltung.
0
Thomas Kaiser
Thomas Kaiser22.05.14 14:22
dSquare
Da kann man doch ganz sicher auch anders mit umgehen, vor allem wenn es schon Leute gibt die solche sicherheitsrelevanten Fehler entdecken und auch noch melden!

Kurz zur Info: der MTN-Artikel, auf dessen Basis Ihr hier diskutiert, schneidet das Thema leider nur am Rande bzw. fokussiert nur auf eine mögliche Mißbrauchsmöglichkeit, die sich aus der eigentlichen Lücke, die hier nichtmal erwähnt wurde, ergibt.

Es geht um eine Lücke in iTunes für Windows, die in OS X und iOS (nur in den aktuell noch durch Security-Fixes unterstützten Versionen!!!) bereits seitens Apple gefixt wurde (wenn ich's richtig verstanden habe bzw. laut wohl in iOS 7.1.1 und Security Update 2014-002: CVE-2014-1295 ).

Das Problem ist Apple also bereits hinlänglich bekannt, sie versuchen's halt mal wieder einfach auszusitzen und totzuschweigen.

Edit: Na toll, Heise war schneller...
0
doctourette
doctourette22.05.14 14:37
nane
Zum Thema kommt von Dir wohl nichts mehr?
Life sucks.
Real_men_don't_need_spacebars.
0
zod198822.05.14 15:09
Thomas Kaiser
zod1988
Ein Tipp: es geht nicht um sensible Daten in der Cloud.

Noch ein Tipp (bzgl. MTN-Meldungen allgemein): Immer sowohl 9to5mac als auch appleinsider (da wo MTN eben 99% der Sachen aufschnappt) besuchen, wenn man den Kern der Sache erfassen will: (komplett lesen, vor allem die letzten 2 Absätze).

Es geht um das Abschnorcheln von Apple-ID samt Kennwort (und das betrifft selbstverständlich "sensible Daten in der Cloud") als auch noch und zusätzlich Umgehen des "Activation Lock" (und noch vieles andere mehr, wenn man die Tragweite einer solchen MitM-Attacke versucht zu begreifen: )


Ah ok, dann nehme ich das zurück. Ich ging in der Tat davon aus, dass sich das lediglich auf Activation Lock bezieht.
0
kacheng
kacheng22.05.14 19:05
Genau das ist mir passiert.
iPhone geklaut, Erase-Mode umgehend eingeleitet, übers iPhone wurden danach aber noch iCloud Passwörter zurückgesetzt (hatte also Verbindung zum Internet).

Bisher hat sich Apple dazu nicht geäussert.
0
o.wunder
o.wunder23.05.14 08:08
mh sehr böser Fehler mit Middle of the Man Attacke, mit den iCloud Anmeldedaten lässt sich schon viel Schindluder treiben der teuer werden kann. Da sollte Apple schon innerhalb weniger Tage reagieren, vor allem wenn sie darauf hin gewiesen werden und sie solche Fehler nicht selber finden.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.