1805695

Was hinter dem Hack auf die Apple Developer Seiten steht

30.07.2013 | 10:07 Uhr |

Vor mehr als einer Woche gingen die Developer-Seiten von Apple offline. Bis dato gibt es keine sicheren Aussagen, was zu dem Ausfall des Devcenters geführt hat. Wir haben recherchiert

Das Chaos beim Start von Mobile Me kommt manchem im Vergleich zu den jüngsten Geschehnissen bei Apple fast als Kinderspiel vor: Zunächst ohne Kommentar hat der Konzern am 18. Juli seine Entwickler-Seiten abgeschaltet, und erst am Sonntag darauf eine Erklärung abgegeben . Demnach hat sich ein Angreifer Zugriff auf die Apple-Developer-Server verschafft und einige Nutzer-Daten wie E-Mails oder Adressen erbeutet. Das Unternehmen versicherte, Passwörter und Kreditkarten-Angaben seien durch den Angriff nicht gefährdet, da Apple sie nur verschlüsselt gespeichert habe.

Inzwischen hat Apple eine komplette Überarbeitung des Entwickler-Portals begonnen, inklusive neuer Datenbanken und aktualisierter Server-Software. Parallel hat sich ein Hacker gemeldet und die Verantwortung für den Angriff reklamiert. Der Sicherheits-Experte Ibrahim Balic hat im Techcrunch-Forum ein Youtube-Video veröffentlicht, in dem er zeigt, wie er die persönlichen Daten von Apple-Mitarbeitern mit einem Python-Script herunterladen kann. Balic hat in Anschluss an seinen Post einige Interviews gegeben, doch danach blieben viele Fragen offen: Balics Angriff hätte keine so grundlegenden Sicherheitsmaßnahmen erfordert, wie Apple sie offenbar aktuell durchführt. Außerdem hat Balic versichert, Apple noch vor der Veröffentlichung des Videos über die Lücke informiert zu haben. Apple hätte also noch reagieren können, ohne die komplette Entwickler-Seite offline nehmen zu müssen. Ein Guardian-Journalist , der herausgefunden hat, dass die Mehrheit der in Balics Video veröffentlichten Mail-Adressen nicht aktiv oder gar ungültig waren, hat weiteren Zweifel gesät, ob Balics Angriff wirklich Anlass für Apples Sicherheitsmaßnahmen war. Der Sicherheits-Experte hat sich auf die Anfragen der Guardian nicht geäußert.

Eine mögliche Erklärung zu dem Apple-Developer-Hack könnte eine unscheinbare Meldung in den Apache-Foren liefern. Die Apache Foundation entwickelt Software für Webserver, die unter anderem auch Apple einsetzt. Am 16. Juli hatten die Betreiber Details zu einer neuen Sicherheitslücke veröffentlicht. Unglücklicherweise haben die Autoren nicht nur auf die potentiellen Schwachstellen bei den einzelnen Seiten-Typen hingewiesen, sondern auch als Bestätigung der Lücke den genauen Code bekannt gemacht. Bei der Lücke handelt es sich um so genanntes Cross-Site-Scripting. Dabei wird ausführbarer Code auf öffentlich zugänglichen Seiten eingesetzt, um an Daten von geschützten Seiten heran zu kommen. Möglicherweise ist es kein Zufall, dass Ibrahim Balic seinen ersten Bug ebenfalls am 16. Juli an Apple gemeldet hat. In einem Interview mit iMore hat er die ganze Liste mit den Fehlern bei diversen Apple Web-Diensten veröffentlicht. Alle dreizehn Bugs nutzen Cross-Site-Scripting (verkürzt XSS), also die gleiche Methode, auf die die Apache Foundation zuvor hingewiesen hatte.

Die komplette Liste der XSS-Bugs von Balic, die er an Apple geschickt hat. Quelle: iMore (http://www.imore.com/closer-look-possible-cause-apples-developer-portal-outage)
Vergrößern Die komplette Liste der XSS-Bugs von Balic, die er an Apple geschickt hat. Quelle: iMore (http://www.imore.com/closer-look-possible-cause-apples-developer-portal-outage)
© http://www.imore.com/closer-look-possible-cause-apples-developer-portal-outage

Es ist also durchaus vorstellbar, dass nicht nur Ibrahim Balic auf die Sicherheitsmeldung aufmerksam geworden ist.

Die chinesische Webseite Taosay hat am 18. Juli, also zeitgleich mit der Abschaltung der Apple-Developer-Seiten, über einen großflächigen Angriff auf diverse Web-Dienste berichtet. Demnach wurden viele chinesischen und ausländischen Online-Shops, Internet-Banken und Online-Spiele-Seiten attackiert. Der russische Online-Bezahl-Dienst Qiwi hat eine solche Lücke auf seinen Seiten bestätigt, konnte aber nach eigener Aussage noch rechtzeitig reagieren. Als eine Folge dieser Sicherheitslücke habe man auch Spam-Mails an Apple-Developer sehen können, die die Empfänger aufforderten, das Passwort auf einer gefälschten Seite zu ändern.

Fazit: Allem Anschein nach war Ibrahim Balic nicht der einzige Angreifer auf Apple, konnte aber als erster die Schwachstelle zur PR in eigener Sache nutzen. Mit einer allzu detaillierten Sicherheitsmeldung hat die Apache Foundation selbst nicht sonderlich geübten „Hackern“ eine Carte Blanche an die Hand gegeben: Den genauen Exploit-Code konnte man aus diversen Foren per Kopieren und Einfügen übernehmen. Apple war sicher nicht das einzige Opfer bei diesem Angriff, wohl aber durch seine Größe und Popularität als erstes Unternehmen in die Schlagzeilen geraten. Stand heute sind Teile des Entwickler-Bereiches von Apple wieder online, wenngleich beispielsweise die Developer-Foren oder die Entwicklerdokumentationen noch nicht zugänglich sind.

0 Kommentare zu diesem Artikel
1805695