{"id":179591,"date":"2021-09-14T16:03:27","date_gmt":"2021-09-14T14:03:27","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=179591"},"modified":"2021-09-14T17:23:56","modified_gmt":"2021-09-14T15:23:56","slug":"aus-versehen-hacker-loescht-alle-icloud-kurzbefehle-weltweit","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/aus-versehen-hacker-loescht-alle-icloud-kurzbefehle-weltweit-179591\/","title":{"rendered":"Ein Versehen im M\u00e4rz: Hacker l\u00f6scht alle iCloud-Kurzbefehle weltweit"},"content":{"rendered":"<p>Der Entwickler Frans Ros\u00e9n hat einen <a href=\"https:\/\/labs.detectify.com\/2021\/09\/13\/hacking-cloudkit-how-i-accidentally-deleted-your-apple-shortcuts\/\">spannenden Blogeintrag<\/a> \u00fcber seine Versuche ver\u00f6ffentlicht, im zur\u00fcckliegenden Fr\u00fchjahr gutes Geld mit Apples <a href=\"https:\/\/developer.apple.com\/security-bounty\/\">Security Bounty Programm<\/a> zu verdienen.<\/p>\n<p>Hier verg\u00fctet Apple Entwickler, die Schwachstellen in Diensten und Anwendungen des Unternehmens melden, bevor diese auf dem Schwarzmarkt zum Verkauf angeboten werden. Wie viele andere Unternehmen belohnt Apple auf diese Weise ehrliche Hacker, die auf L\u00fccken im System hinweisen und verhindert so im besten Fall, dass diese lange Zeit unentdeckt bleiben und durch Akteure mit zwielichtigen Motiven ausgenutzt werden.<\/p>\n<blockquote class=\"twitter-tweet\" data-conversation=\"none\" data-cards=\"hidden\">\n<p dir=\"ltr\" lang=\"en\">I found some permission issues when hacking Apple CloudKit. I wrote about three of them <a href=\"https:\/\/twitter.com\/detectify?ref_src=twsrc%5Etfw\">@detectify<\/a> labs, one where I accidentally deleted all shared Apple Shortcuts.<a href=\"https:\/\/t.co\/bwNOLJIeIo\">https:\/\/t.co\/bwNOLJIeIo<\/a> <a href=\"https:\/\/t.co\/0YnX7T8KrW\">pic.twitter.com\/0YnX7T8KrW<\/a><\/p>\n<p>\u2014 Frans Ros\u00e9n (@fransrosen) <a href=\"https:\/\/twitter.com\/fransrosen\/status\/1437416058105827332?ref_src=twsrc%5Etfw\">September 13, 2021<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2>Alle \u00f6ffentlichen Links beim Testen gel\u00f6scht<\/h2>\n<p>Ein bew\u00e4hrtes Konzept, das allerdings auch in die Hose gehen kann, wie der Erfahrungsbericht von Frans Ros\u00e9n eindrucksvoll demonstriert. So berichtet der Hacker in einer langen, <a href=\"https:\/\/labs.detectify.com\/2021\/09\/13\/hacking-cloudkit-how-i-accidentally-deleted-your-apple-shortcuts\/\">detailliert technischen Abhandlung<\/a> \u00fcber seine Versuche L\u00fccken in Apples Cloud-Speicher-Infrastruktur CloudKit ausfindig zu machen.<\/p>\n<p>Unter anderem hat sich Ros\u00e9n dabei auch mit den \u00f6ffentlichen Links besch\u00e4ftigt, die Apple immer dann generiert, wenn selbst erstellte Kurzbefehle \u00fcber iCloud mit interessierten Freunden und anderen Nutzern im Web geteilt werden sollen.<\/p>\n<p>Ende M\u00e4rz kam es im Zuge der Untersuchungen von Ros\u00e9n dann zu einem Versehen, dass sich auf alle iPhone-Nutzer weltweit auswirken sollte. W\u00e4hrend der Entwickler dabei war Endpunkte der Apple-Schnittstellen zu pr\u00fcfen, um seine Berechtigungen hier nach und nach zu eskalieren, l\u00f6schte dieser aus Versehen die gesamte Datenbank aller bis dahin generierten Kurzbefehl-Links.<a href=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehl-links.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-179594\" src=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehl-links.jpg\" alt=\"Kurzbefehl Links\" width=\"1125\" height=\"1143\" srcset=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehl-links.jpg 1125w, https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehl-links-492x500.jpg 492w, https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehl-links-689x700.jpg 689w\" sizes=\"auto, (max-width: 1125px) 100vw, 1125px\" \/><\/a><\/p>\n<p>Pl\u00f6tzlich liefen Verlinkungen von Kurzbefehl-Webseiten genau so wie unter Freunden geteilte Verweise auf private iCloud-Kurzbefehle ins Leere.<\/p>\n<h2>Apple zahlte $28.000 Pr\u00e4mie<\/h2>\n<p>Ros\u00e9n kontaktierte Apple daraufhin umgehend, entschuldigte sich f\u00fcr seinen destruktiven Eingriff und beschrieb die Schritte, die zum pl\u00f6tzlichen Verschwinden der Kurzbefehl-Links f\u00fchrten.<\/p>\n<p><center><\/center><\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Is Shortcuts having a problem? <a href=\"https:\/\/t.co\/CQ9NGQeQvc\">pic.twitter.com\/CQ9NGQeQvc<\/a><\/p>\n<p>\u2014 Mike Beasley (@MikeBeas) <a href=\"https:\/\/twitter.com\/MikeBeas\/status\/1374490478373052423?ref_src=twsrc%5Etfw\">March 23, 2021<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>R\u00fcckblickend ben\u00f6tigte Apple dann einen knappen Monat, um die gel\u00f6schten Kurzbefehle-Links wiederherzustellen und diese mit all jenen Links zu kombinieren, die in den Tagen nach Ros\u00e9ns Eingriff neu erstellt wurden.<\/p>\n<p>Ros\u00e9n wurden f\u00fcr den Hinweis auf die Schwachstelle 28.000 US-Dollar ausgezahlt. Gleichzeitig \u00fcbermittelte Apple dem Hacker die Bitte, in zuk\u00fcnftigen Systemanalysen doch bitte auf Handlung zu verzichten, die das Live-System in Mitleidenschaft ziehen k\u00f6nnte.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"tracking\" src=\"https:\/\/vg07.met.vgwort.de\/na\/1b721fed738f41c3b60ef43856437263\" width=\"1\" height=\"1\" \/><\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.iphone-ticker.de\/aus-versehen-hacker-loescht-alle-icloud-kurzbefehle-weltweit-179591\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehl-links-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"Kurzbefehl Links\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Der Entwickler Frans Ros\u00e9n hat einen spannenden Blogeintrag \u00fcber seine Versuche ver\u00f6ffentlicht, im zur\u00fcckliegenden Fr\u00fchjahr gutes Geld mit Apples Security Bounty Programm zu verdienen. Hier verg\u00fctet Apple Entwickler, die Schwachstellen in Diensten und Anwendungen des Unternehmens melden, bevor diese auf dem Schwarzmarkt zum Verkauf angeboten werden. Wie viele andere Unternehmen belohnt Apple auf diese Weise [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":179594,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[3912,2320,238,4403,90],"class_list":["post-179591","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-apple","tag-kurzbefehle","tag-security","tag-shortcuts","tag-sicherheit"],"aioseo_notices":[],"subheadline":["Apple zahlt $28.000 Pr\u00e4mie","Apple zahlt $28.000 Pr\u00e4mie"],"featured_image":["https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehle-nicht-gefunden-feature.jpg"],"rest_api_enabler":{"subheadline":["Apple zahlt $28.000 Pr\u00e4mie","Apple zahlt $28.000 Pr\u00e4mie"],"featured_image":"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2021\/09\/kurzbefehle-nicht-gefunden-feature.jpg"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/179591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=179591"}],"version-history":[{"count":5,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/179591\/revisions"}],"predecessor-version":[{"id":179603,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/179591\/revisions\/179603"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/179594"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=179591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=179591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=179591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}