2290817

iCloud-Keychain-Bug: Gefährlich, aber behoben

07.08.2017 | 10:22 Uhr |

Eine Schwachstelle im Apple iCloud-Schlüsselbund ermöglichte es Angreifern, auf die Daten des autorisierten Nutzers zuzugreifen.

Zu diesen im iCloud-Schlüsselbund gefährdeten Daten gehörten etwa Passwörter, Kreditkartendaten und andere Zugangsdaten. Der Zugriff darauf konnte aufgrund einer Lücke in Apples Ende-zu-Ende-Verschlüsselung im Rahmen der Sicherung der iCloud-Schlüsselbunddaten erfolgen, wie die Kollegen von " Mac & I " berichten. Diese beziehen sich in ihrem detaillierten Artikel auf Äußerungen des Sicherheitsforschers Alex Radocea auf der Sicherheitskonferenz "Black Hat" und direkte Mitteilungen des Experten. Demzufolge lag das Problem in einem Fehler bei der Signatur-Verifikation in Apples angepasster Version des quelloffenen Verschlüsselungsprotokolls Off-the-Record (OTR). Dadurch wurde eine speziell manipulierte Signatur, die normalerweise abgelehnt würde, durch den Bug akzeptiert, und das eingesetzte Gerät konnte sich als bereits autorisiert ausgeben und die verschlüsselten Zugangsdaten auslesen. Normalerweise ist es erforderlich, das neue Gerät für die Synchronisierung der Daten im iCloud-Schlüsselbund durch ein bereits autorisiertes zu bestätigen. Apple selbst beschreibt den Vorgang und die möglichen Varianten hier .

Seit März 2017 wurde die Lücke, die Radocea schon Anfang des Jahres gemeldet hatte, mit iOS 10.3 sowie für diverse Mac-Betriebssystemversionen geschlossen. Doch ganz so leicht ließ sich der Fehler ohnehin nicht ausnutzen, wie "Mac & I" von dem Sicherheitsexperten erfahren konnte. Entweder hätte der Angreifer Zugriff auf das iCloud-Konto des Opfers mittels Zugangsdaten zum Benutzerkonto gebraucht, sofern dieses nicht durch Zwei-Faktor-Authentifizierung geschützt war. Oder der Angreifer hätte durch einen sogenannten Man-in-the-Middle-Angriff die TLS-Verbindungen des Nutzers ausspionieren müssen, was deutlich komplexer wäre. Problematisch ist, dass möglicherweise auch Apple-Mitarbeiter die Daten trotz Ende-zu-Ende-Verschlüsselung der Schlüsselbund-Daten des Nutzers hätten einsehen können. Normalerweise behauptet Apple, selbst keinen Zugriff zu haben.

0 Kommentare zu diesem Artikel
2290817