Der indische Sicherheitsforscher Laxman Muthiya hat eine Sicherheitslücke in Apples iCloud entdeckt, durch die Accounts übernommen und eventuell auch Code-Sperren von Apple-Geräten entziffert werden können. Der Sicherheitsforscher führte dafür einen Brute Force Angriff aus. Er nutzte eine Race Condition aus, bei der der iForget-Server von Apple, der der Rücksetzung von Passwörtern dient, mit zu vielen gleichzeitigen Anfragen überfordert wurde. Dadurch gelang es ihm, den sechsstelligen Zwei-Faktor-Authentifizierungscode zu erraten, mit denen iCloud-Accounts eigentlich vor einer Übernahmen geschützt werden sollten.
Während laut Apple nur eine sehr geringe Minderheit betroffen ist, sieht Muthiya das Sicherheitsproblem als schwerwiegend an.
Schließlich fand er zudem einen zweiten Angriffspunkt, bei dem die Codesperren von iPhones und iPads betroffen waren. Angreifbar sei hierbei das Secure Remote Password- System von Apple mit dem sich Nutzer über die Codesperre oder das Passwort von bereits in ihrem Besitz befindlichen Geräten auf neuen Geräten anmelden können.
Quellen:
- https://www.heise.de/news/iCloud-Problem-erlaubte-Password-Brute-Force-Apple-streitet-mit-Entdecker-6120219.html
- Äußerung des Sicherheitsforschers: https://thezerohack.com/apple-vulnerability-bug-bounty