Auf der Konferenz Hack In The Box in Kuala Lumpur, Malaysia, stellte Katalov seine Ergebnisse vor. Apple kann demzufolge auf Informationen und Daten der Nutzer zugreifen. Das Unternehmen hatte dies bislang bestritten. Um zum Beispiel ein iCloud-Backup durchzuführen, benötigen Angreifer zwar die Apple-ID und das Passwort eines Opfers, aber nicht das mit dem iCloud verbundene iOS-Gerät.
Die Daten die auf iCloud abgelegt werden, sind laut Katalov zwar verschlüsselt, der Schlüssel aber wird zusammen mit den Daten gespeichert. Zudem sei Apple im Besitz der Schlüssel. Darüber hinaus habe er festgestellt, dass zusätzlich zu diesen Schwachstellen in der Sicherheitskette, die iCloud-Daten von Apple auf Servern von Amazon und Microsoft gespeichert werden.
Apple könne die Daten auch Strafverfolgungsbehörden zur Verfügung stellen, da die Storage-Provider Microsoft und Amazon einen vollständigen Zugriff auf die Daten hätten. Im Juli hatte die Firma aus Cupertino in einer Stellungnahme zu den PRISM-Enthüllungen versichert, keine Hintertüren für Regierungsbehörden zu öffnen. “Apple gibt Strafverfolgern keinen Zugang zu seinen Servern.”
Katalov hält dies für möglich. Wird ein iCloud-Backup vom Nutzer erstellt, erhält er eine E-Mail über den erfolgreichen Abschluss des Vorgangs. Wird das Backup aber nicht auf das Gerät des Nutzers heruntergeladen, wird auch keine Benachrichtigung versendet. Ruft also ein Dritter diese Daten ab, geschieht das ohne das Wissen des Nutzers.
Katalov untersuchte die Protokolle, indem er den HTTP-Datenverkehr von gejailbreakten Geräten überwachte. Auch Besitzer von nicht entsperrten iPhones und iPads seien von den Schwächen in den Protokollen betroffen. Die Authentifizierungs-Tokens für den Zugriff auf ein iCloud-Backup, die Backup-ID und die Schlüssel könne man durch einfache Abfragen erhalten. Damit sei es wiederum möglich, die Dateien von Windows Azure oder Amazon AWS herunterzuladen.
Katalov sagte gegenüber ZDNet USA, dass es sich bei den entdeckten Schwächen nicht um Anfälligkeiten handle. Laut dem Sicherheitsforscher sei die Ausweitung der Zwei-Faktor-Authentifizierung auf iCloud und Mein iPhone suchen jedoch nicht möglich. “Nur ein nachträglicher Einfall” sei möglicherweise die Implementierung der Technik durch Apple. Schützen können sich Nutzer nur, wenn sie auf iCloud verzichten. Katalov selber nutze iCloud allerdings weiter als Backup-Dienst für seine iOS-Geräte.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.