Wie Hacker an Jeffrey Katzenbergs Mac kamen

Dass man durch Sicherheitslücken auch einen eigentlich recht sicheren Mac hacken kann, ist wohl jedem bekannt. Auch über die Rolle von Social Engineering hat wohl jeder schon Warnungen gehört. Diese Warnungen sind aber oft etwas abstrakt und schnell vergessen. Wie ein solcher Angriff aber in der Praxis ablaufen kann, hat nun die „Hackerin“ Rachel Tobac von Social Proof Security in einem recht gut gemachten kurzen Video vorgeführt. Als Opfer fungiert der berühmte Filmproduzent Jeffrey Katzenberg, auf dessen  Mac Tobac schnell Zugriff erhält. Das Video, in dem der Hack auch aus Sicht von Angreifern und Opfer gefilmt wurde, ist über Twitter abrufbar. (Der Hintergrund: Katzenberg ist ein Investor der Sicherheitsfirma Aura , die das Video publiziert hat.)

So funktionierte der Zugriff

Tobac setzt auf eine Mischung aus Social Engineering und bekannten Sicherheitslücken, um auf den Mac von Katzenberg zuzugreifen. Der erste Schritt ist Social-Engineering: Über soziale Medien wird ein naher Kollege von Katzenberg ausgewählt und eine gefälschte E-Mail von ihm an Katzenberg versandt. Kurz nach dem Erhalt ruft Tobac das Opfer außerdem auf seinem iPhone an, eine Datei in der gefälschten E-Mail zu öffnen – dabei täuscht eine künstlich veränderte Stimme und lauter Hintergrund vor, der Anruf käme wirklich vom Kollegen.

Der sonst vorsichtige Produzent öffnete nun die Datei, die eine Sicherheitslücke in Safari ausnutzt und Zugriff auf den Mac ermöglichte: Es konnten nun Bilddateien, Adressdaten und zuletzt genutzte Passwörter abgefangen werden. Auch der Zugriff auf das Mac-Mikrofon war möglich.

Allerdings wird von den Machern ein wenig getrickst: Der Angriff ist nur möglich, da der Mac von Katzenberg eine Sicherheitslücke aufwies. Der Fehler: Das System des Mac war nicht aktuell und wies einige bekannte Sicherheitslücken auf. Allerdings ist dies zugleich einer der häufigsten Fehler von Anwendern, in der Praxis also möglich.