Mittlerweile funktioniert das Skript nicht mehr...

Nach dem Hack, bei dem Unbekannte private Fotos mehrere prominenter junger Frauen unerlaubt kopiert haben, ist nun ein Skript im Internet aufgetaucht, dass bei dem Angriff verwendet worden sein soll. Dies scheint zu belegen, dass die Bilder tatsächlich aus Apples iCloud stammen. Die Firma hatte wohl bei einer Schnittstelle der Find-My-iPhone-Funktion keine Login-Bremse eingebaut, so dass Angreifer beliebig viele Passwörter nach einander ausprobieren konnten.

Beim Login über die Webseite sperrt Apple nach einer bestimmten Zahl von Fehlversuchen den Account. Der Nutzer muss diese dann manuell über einen Aktivierungslink, der an die E-Mail-Adresse des Kontos geschickt wird, reaktivieren. Jetzt hat Apple das auch beim Find-My-iPhone-Zugang nachgerüstet. Bei Tests von heise Security waren nur noch etwa zehn Loginversuche möglich.

Zu einfache Passwörter

Das Angriffs-Skript namens iBrute gibt sich als die Find-My-iPhone-App aus und arbeitet mit Gewalt mögliche Passwörter aus einer Liste ab, die der Angreifer zur Verfügung stellt. Haben die Angreifer tatsächlich auf diesem Weg dumm alle möglichen Passwörter durchprobiert, müssen die geknackten Passwörter relativ einfach gestrickt gewesen sein. Mit etwa zehn Login-Versuchen pro Sekunde kann man lediglich knapp eine Million Passwörter am Tag durchprobieren. Das ist sehr wenig, wenn man vorher nichts über das Passwort weiß.

...und führt zu einer Sperrung des betroffenen Kontos.

Apple hatte die Passwort-Vorgaben für seinen Cloud-Dienst in letzter Zeit strikter gemacht, unter anderem wohl um diese Art Angriffe zu erschweren. Nutzer die ihre iCloud schon länger in Betrieb haben, können aber noch ältere Passwörter verwenden. Da diese Passwörter nicht mit den selben strengen Vorgaben erstellt wurden, sind sie unter Umständen leichter zu knacken. (fab)