Brute Force-Lücke in iCloud: Apple wurde bereits im März informiert

Brute force. Der englische Begriff für “rohe Gewalt” beschreibt in der Informatik eine nicht sehr performante, langfristig aber durchaus effektive Methode zum Brechen von Passwörtern. Das Durchprobieren aller möglichen Lösungen.

Mit dieser Einleitung erklärten wir am 1. September die Hintergründe, die die Veröffentlichung zahlreicher Promi-Nacktbilder aus kompromittierten iCloud-Accounts Anfang des Monats ermöglichten.

Damals stellte sich heraus, dass Apples iCloud-Service scheinbar nur unzureichend gegen Brute-Force-Angriffe geschützt waren. Vor allem die iCloud-Schnittstellen, die sich um die „Mein iPhone finden“-Funktion kümmerten, erlaubt unbegrenzt viele Login-Versuche und erleichterten Angreifern so das Erraten von Passwörtern.

Auf ifun.de kommentierten wir wenige Stunden später:

Dennoch muss die Frage erlaubt sein, warum die angegriffenen Konten nicht nach einer gewissen Anzahl von Fehlversuchen komplett gesperrt wurden. Zumindest bislang hat es nämlich weiterhin den Anschein, als wurden die Zugänge durch automatisierte Login-Versuche erlangt.

Jetzt stellt sich heraus: Apple wurde bereits sechs Monaten vor Veröffentlichung der Promi-Naktbilder über die Brute Force-Lücke informiert. Das Brute Force-Werkzeug iBrute, mit dem die Schwachstelle ausgenutzt werden konnte, versagte seinen Dienst jedoch erst Anfang September.

Dies berichtet die Webseite „The Daily Dot“. Demnach habe der iOS-Entwickler Ibrahim Balic die Sicherheits-Abteilung Cupertinos bereits im März auf die Schwachstelle hingewiesen.

In a March 26 email, Balic tells an Apple official that he’s successfully bypassed a security feature designed to prevent “brute-force” attacks—a method used by hackers to crack passwords by exhaustively trying thousands of key combinations. Typically, this kind of attack is defeated by limiting the number of times users can try to log in.

Neben einen E-Mail, reichte Balic auch einen Bug-Report in Cupertino ein.