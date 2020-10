Grafik: Sam Curry

Zum zweiten Mal innerhalb weniger Tage muss sich Apple unangenehme Fragen zur Sicherheit seiner Produkte gefallen lassen. Denn auch wenn Sicherheitslücken in Software nie vollständig auszuschließen sind, das was Hacker nun bei den Webservices von Apple gefunden haben, zeichnet ein wenig erfreuliches Bild.

Details

Insgesamt 55 Sicherheitslücken hat ein Team rund um den zwanzigjährigen Hacker Sam Curry bei iCloud und Co. aufgespürt. Von diesen fallen wiederum elf unter die höchste Gefahrenstufe "kritisch". Mit diesen hätten weniger freundlich gesinnte Angreifer alle möglichen Unsinn treiben können: So befinden sich darunter gleich mehrere Lücken, über die ein iCloud-Konto komplett übernommen werden hätte können.

Samuel Curry

Was das Ganze noch schlimmer macht: Ein solcher Angriff ist geradezu trivial: Es reichte einer Zielperson eine Mail mit speziellen Zeichen zu schicken, um den Fehler auszulösen. Öffnet das Opfer dann dieses Mail, ließ sich das Konto vollständig kapern, es gab also Zugriff auf Fotos, Adressbuch und alle anderen Daten in der iCloud. Doch nicht nur das waren diese Lücken auch noch "wurmfähig", ein Angreifer hätte sie also auch nutzen können, um in Folge weitere Nutzerkonten zu attackieren.

Großer Schaden möglich

Dazu kommt unter anderem noch ein Bug im Autorisierungssystem, über den aus der Ferne Schadcode ausgeführt hätte werden können. Oder auch Fehler, die die Manipulation von Datenbankeinträgen am Server sowie den Zugriff auf interne Systeme von Apple ermöglicht hätten. In Summe hätten Angreifer damit also einen riesigen Schaden – nicht zuletzt auch für das Ansehen des Unternehmens – anrichten können.

Curry versteht sich als "White Hat", also ein Hacker mit noblen Absichten. Insofern wurde Apple auch vor der Öffentlichkeit über all die Probleme informiert. Mittlerweile sollen die Bugs alle bereinigt sein. Zudem erhalten die Hacker für ihre Arbeit im Rahmen des Bug-Bounty-Programms von Apple eine Belohnung in sechsstelliger Höhe. Bisher soll Apple 288.500 US-Dollar zugesagt haben, schlussendlich könnten es aber an die 500.000 werden – bisher ist dieser Einschätzungsprozess noch nicht abgeschlossen.

Weitere Details zu all den aufgespürten Lücken liefern die Hacker in einem ausführlichen Blogposting. Für die Aufspürung der Fehler hat man in Summe rund drei Monate Zeit investiert. (apo, 9.10.2020)