Apple: Kritisches Leck in Passwort-Rücksetzung gestopft

Apple hat eine kritische Lücke bei der Passwort-Wiederherstellung geschlossen. Über die Schwachstelle konnten Angreifer Passwörtern für Apple-ID-Konten einfach zurücksetzen. Dafür genügten E-Mail-Adresse und Geburtsdatum eines Nutzers.

Durch eine spezielle URL ließen sich Sicherheitsfragen umgehen. Nicht betroffen waren Anwender, die sich für Zwei-Faktor-Authentifizierung entschieden hatten.

Die ersten Berichte über das Problem wurden am 22. März veröffentlicht. Der iPhone-Hersteller reagierte daraufhin relativ schnell und versetzte die Passwort-Rücksetzung in den Wartungsmodus, um weitere Rücksetzungen und die mögliche Übernahme von Konten zu verhindern. “Apple nimmt die Privatsphäre der Kunden sehr ernst”, erklärte ein Apple-Sprecher gegenüber News.com. “Wir sind uns dieses Problems bewusst und arbeiten an seiner Behebung.”

Offenbar nicht von dem Exploit betroffen waren Nutzer, die sich bereits für die eben erst von Apple für die Nutzer von iCloud und Apple ID eingeführte Zwei-Faktor-Authentifizierung entschieden hatten. Sie erfordert für die Verwaltung der Apple ID – und insbesondere das Zurücksetzen des Passworts – neben dem Passwort einen vierstelligen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird. Die Eingabe von Passwort und dem jeweiligen Bestätigungscode ist auch erforderlich, wenn Käufe über iTunes, Apples App Store oder iBookstore von einem neuen Gerät aus getätigt werden. Diese Zwei-Faktor-Authentifizierung ist jedoch in den meisten Ländern, darunter auch in Deutschland, noch gar nicht verfügbar.

Apple konnte die Sicherheitslücke noch am gleichen Tag schließen und hat die Rücksetzung vergessener Passwörter inzwischen wieder aktiviert. Tests von The Verge und iMore, die zuerst über das Problem berichteten, bestätigen seine Behebung.

[mit Material von Josh Lowensohn, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de