zurück zum Artikel

Apple: Sicherheitslücke in Account-Recovery-Tool

Holger Bleich

Laut US-Berichten genügte es bis zum Freitag, die Mail-Adresse und das Geburtsdatum von Apple-ID-Inhabern zu kennen, um deren Passwort zu ersetzen.

Die Serie von entdeckten Sicherheitslücken bei Apple reißt nicht ab. Nachdem der Konzern gerade erst mit einem iOS-Update [1] die wochenlang offene Codesperren-Lücke [2] geschlossen und in einigen Ländern (nicht aber in Deutschland) die Zwei-Faktor-Authentifizierung für Apple-IDs eingeführt [3] hat, gibt neue Probleme: Das US-amerikanische Tech-Blog The Verge berichtet [4] glaubhaft, dass es geklappt hat, lediglich mit der Mail-Adresse sowie dem Geburtsdatum eines Apple-ID-Inhabers über eine spezielle URL den Passwort-Zurücksetzen-Mechanismus auszulösen.

Dies sei bis zum gestrigen 22. März über das Passwort-Recovery-Tool auf der Apple-Site möglich gewesen. Mit den Trick habe sich ein Angreifer Zugang zu allen Apple-Diensten verschaffen sowie den Account von innen verriegeln können. Wie The Verge weiter berichtet, habe Apple auf Anfrage das Sicherheitsloch bestätigt [5], den Recovery-Service vom Netz genommen und wenig später ohne die Riesenlücke wieder online gestellt [6].

Services zum Zurücksetzen von Passwörtern gelten als Hauptangriffspunkte bei Diensten, die lediglich mit einer ID-Passwort-Kombination gegen fremden Zugriff gesichert sind. Gelangt ein Angreifer in das Apple-Kundenkonto, erhält er nicht nur die dort hinterlegten Kreditkartendaten, sondern auch Zugang etwa zum iCloud-Account des Kunden oder unter Umständen zu Services anderer Anbieter. Welche Auswirkungen das haben kann, hat c't zuletzt im Artikel "Risiko Identitätsklau" (Heft 24/12) erläutert. (hob [7])

URL dieses Artikels:
https://www.heise.de/-1828970

Links in diesem Artikel:
[1] https://www.heise.de/news/iOS-6-1-3-steht-bereit-1826042.html
[2] https://www.heise.de/news/iPhone-Luecke-erlaubt-Zugriff-ohne-Passcode-1803813.html
[3] https://www.heise.de/news/Apple-fuehrt-Zwei-Faktor-Authentifizierung-fuer-Apple-IDs-ein-1828108.html
[4] http://www.theverge.com/2013/3/22/4136242/major-security-hole-allows-apple-id-passwords-reset-with-email-date-of-birth
[5] http://www.theverge.com/2013/3/22/4137068/apple-confirms-security-threat-working-on-fix
[6] http://www.theverge.com/2013/3/22/4137722/apple-brings-password-page-back-online-after-fixing-security-exploit
[7] mailto:hob@ct.de

Copyright © 2013 Heise Medien