iDict umgeht Apples Hacker-Sicherungen

Brute force. Der englische Begriff für “rohe Gewalt” beschreibt in der Informatik eine nicht sehr performante, langfristig aber durchaus effektive Methode zum Brechen von Passwörtern: Das Durchprobieren aller möglichen Lösungen.

Oder, um es mit der deutschen Wikipedia zu formulieren:

Der natürlichste und einfachste Ansatz zu einer algorithmischen Lösung eines Problems besteht darin, einfach alle potenziellen Lösungen durchzuprobieren, bis die richtige gefunden ist.

Eine Einleitung, die wir bereits im September abgedruckt haben. Damals wurde klar, dass die Veröffentlichung zahlreicher Promi-Nacktbilder aus kompromittierten iCloud-Accounts in Zusammenhang mit dem Brute-Force-Werkzeug iBrute zu stehen schien.

Apples iCloud-Service war bis zum 27. September nur unzureichend gegen Brute-Force-Angriffe geschützt – iBrute gestattete den Angriff auf ausgesuchte iCloud-Konten und probierte sich durch eine Passwort-Liste, die die häufigsten Online-Passwörter aus vergangenen Hacks kombinierte.

Mit dem heute veröffentlichtem Brute-Force-Werkzeug „iDict“ ist Apple nun wieder verwundbar. Der auf GitHub veröffentlichte Schad-Code lässt sich vom eigenen Rehner aus starten und greift anschließend ausgewählte iCloud-Konten mit einer Passwort-Liste an.

Die Besonderheit: „iDict“ ist immun gegen Apples Schutzmechanismen. Die automatisierten Login-Versuche werden auch nach mehreren Fehlversuchen nicht von Apple gesperrt, eine aktive 2-Faktor-Authentifizierung verhindert zwar die Account-Ünernahme, nicht jedoch den Brute-Force-Angriff als solchen.

iDict – A 100% Working iCloud Apple ID Dictionary attack that bypasses Account Lockout restrictions and Secondary Authentication on any account.

iDict wurde vor wenigen Stunden veröffentlich. Es darf davon ausgegangen werden, dass Apple bereits an einer Behebung der Sicherheitslücke arbeitet.