iCloud-Problem erlaubte Password-Brute-Force – Apple streitet mit Entdecker

Einem Sicherheitsexperten gelang es, über eine Race Condition und zahlreiche IPs bestimmte Apple-IDs zurückzusetzen. Angeblich waren auch iPhone-PINs bedroht.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 70 Beiträge

(Bild: Apple)

Von
  • Ben Schwan

Ein indischer Sicherheitsforscher hat ein Zugriffsproblem in Apples iCloud entdeckt, über das Accounts übernommen und womöglich sogar Codesperren von iOS- und iPadOS-Geräten entziffert werden konnten. Das Verfahren ist zwar komplex, konnte von Apple jedoch nachgestellt werden. Der Experte meldete seine Erkenntnisse im Rahmen des Bug-Bounty-Programms des iPhone-Konzerns, lehnte die daraufhin zugewiesene vergleichsweise geringe Belohnung in Höhe von 18.000 US-Dollar jedoch ab, weil er die Lücken für viel schwerwiegender hielt, als Apple dies eingestehen mochte.

Laxman Muthiyah nutzte eine Kombination aus insgesamt 28.000 IP-Adressen, um bis zu eine Million Anfragen an Apples sogenannte iForget-Server zu senden, der über das Web erreichbar ist. Er dient zur Rücksetzung des Passworts. Die iForget-Server waren weltweit über sechs verschiedene IP-Adressen ansprechbar, die der Sicherheitsforscher dann mit Anfragen bombardierte. Damit gelang es Muthiya, den sechsstelligen Zwei-Faktor-Authentifizierungscode zu erraten, mit denen iCloud-Accounts eigentlich vor Übernahmen geschützt werden sollen.

Der Sicherheitsforscher nutzte dabei eine sogenannte Race Condition aus, bei der die Server mit gleichzeitigen Anfragen überfordert wurden – und nutzte geschickt deren Zugriffslimits aus. Sperren, die gegen solche Brute-Force-Angriffe eingerichtet waren, umging er über besagte IP-Adressen – die allesamt von unbekannteren Cloud-Service-Providern stammten, die Apple im Gegensatz zu AWS oder Google Cloud nicht auf einer Blockliste stehen hatte.

Mehr von Mac & i Mehr von Mac & i

Die Methode des Sicherheitsforschers setzt voraus, dass sowohl die E-Mail-Adresse des Nutzers als auch die hinterlegte vertrauenswürdige Telefonnummer des Opfers bekannt sind. Nur dann kann der Zwei-Faktor-Authentifizierungscode angefordert werden. Apple zufolge funktioniert der Angriff weiterhin auch nur dann, wenn ein Apple-Account nie auf einem Mac, iPhone oder iPad verwendet wurde.

Entsprechend handele es sich nur um eine "sehr geringe Minderheit an Accounts". Apple unterschlägt dabei allerdings, dass der Konzern immer mehr Dienste auch für andere Plattformen anbieten – insbesondere etwa Apple Music, für das es eine Android-App gibt, oder den Filmdienst Apple TV+. Es gibt also durchaus eine wachsende Gruppe von Nutzern, die kein Apple-Device der drei Arten besitzt.

Muthiyah fand auch noch einen potenziellen zweiten Angriffspunkt, der diesmal Apples Codesperre für iPhones und iPads betrifft. Diese ist vier bis sechs Ziffern lang. Eine tiefere Analyse zeigte, dass auch dort zumindest theoretisch ein Angriff denkbar wäre. Apple nutzt seit längerem das sogenannte SRP-Protokoll (Secure Remote Password), mit der Nutzer über die Codesperre oder das Passwort bereits im Besitz befindlicher Geräte sich wiederum auf neuen Geräten anmelden können.

Dazu ist ein Internetabgleich notwendig, der potenziell – das behauptet zumindest Muthiyah – ähnlich angreifbar wäre wie bei der Zwei-Faktor-Authentifizierung. Die entsprechenden Server waren allerdings dicht – jedoch zu einem Zeitpunkt, nach dem der Sicherheitsforscher die Lücke bereits gemeldet hatte. Für Apple ist weder Bug 1 noch Bug 2 die komplette Summe wert, die gegebenenfalls bis zu 350.000 Dollar betragen hätte.

(bsc)