Vergangene Woche verbreiteten sich private Nacktfotos von weiblichen Prominenten wie Jennifer Lawrence und Model Kate Upton wie ein Lauffeuer im Netz. Die unbekannten Hacker luden die Bilder zuerst über die populären Content-Sharing-Plattformen 4chan, Reddit und Imgur hoch und drohten dann weiteren 100 Celebrities mit der Veröffentlichung ähnlicher Bilder.
Schnell war der Apple-Dienst iCloud als Quelle der Fotos in aller Munde. In der iCloud werden Inhalte online gespeichert, nachdem sie mit dem iPhone aufgenommen werden, um den lokalen Speicher zu entlasten und die Datensicherheit bei einem Gerätedefekt zu gewährleisten. Als dann das Skript iBrute als mögliches Werkzeug für die Attacke auftauchte, wurden kritische Stimmen laut. An einer Schnittstelle mit der Find-my-iPhone-Funktion soll Apple keine Login-Bremse eingestellt haben, sodass sogenannte Brute-Force-Attacken ungehindert durchgeführt werden konnten. Mit Brute-Force-Attacken probieren Angreifer über ein Skript unaufhörlich verschiedene Passwörter aus, bis das richtige Passwort gefunden und der Account geknackt ist. Diese Lücke wurde mittlerweile von Apple geschlossen.
iBrute Skript probiert Passwörter aus bis zum Erfolg (via TNW)
Apple wies gleichzeitig jedoch jede Schuld von sich und bestreitet, dass eine Sicherheitslücke in der iCloud zu dem Diebstahl der Fotos geführt haben könnte. Das Timing für diese medienwirksame Attacke und den damit einhergehenden möglichen Vertrauensverlust gegenüber Apple-Produkten ist auch denkbar schlecht: kommenden Dienstag stellt Apple voraussichtlich das neue iPhone 6 mit mehreren sicherheitskritischen Features (z.B. mobiler Zahlung, Gesundheits-Tracking) vor. Apple betont deshalb, dass die Angriffe gezielt auf die Konten der Promis angelegt waren und keiner der Angriffe über die iCloud oder Find my iPhone stattgefunden habe.
Stattdessen weist Apple auf starke Passwörter und die sogenannte Two-Step-Verification hin, um Angriffe dieser Art zu vermeiden. Über die Zwei-Faktor-Authentifizierung muss zunächst ein Code bestätigt werden, der an ein registriertes Gerät des Users versendet wurde, bevor Änderungen an dem Benutzerkonto oder Zugriffe von unbekannten Geräten erfolgen können. So soll sichergestellt werden, dass der Zugriff über eine Apple ID auch tatsächlich nur durch den Eigentümer erfolgt. Tech-Experten warnen jedoch: die Two-Step-Verification schützt nicht vor Angriffen auf Backups und Foto-Streams der iCloud. Sie tritt lediglich in Kraft, wenn man mit der Apple ID das Konto verwalten, Einkäufe über iTunes, App Store oder iBookstore auf einem anderen Gerät tätigen oder Kundenservice für die Apple ID in Anspruch nehmen möchte.
Wenn ein iCloud-Backup jedoch auf einem anderen Gerät wiederherstellt und seine Daten exportiert werden, wird nicht nach einem Bestätigungscode gefragt. Potentielle Angreifer bekommen so Zugang zu allen Daten der iCloud, auch zum Photo-Stream, der ebenfalls nicht durch die Two-Step-Verification geschützt ist.
„Backup wiederherstellen – Ihre iPhone-Einstellungen wurden wiederhergestellt.“ (via ElcomSoft)
Die Zwei-Faktor-Authentifizierung hätte also im Fall der nun verbreiteten Promi-Bilder nichts genützt und Apples Hinweis auf dieses Feature löst das Problem nicht. Noch heikler ist dabei der Fakt, dass die Sicherheitslücke bereits im Mai 2013 öffentlich gemacht wurde und Apple bis heute nichts geändert hat.
Cloud-Storage bedeutet immer ein Risiko. Nicht nur Daten in der iCloud sind betroffen, sondern auch Daten, die über anderen Anbieter wie Facebook, Dropbox, Android oder WhatsApp hochgeladen oder verschickt werden, landen meist in einer Cloud. Die Vielzahl an möglichen Angriffspunkten in einer komplexen Architektur über Smartphones und Cloud-Infrastruktur hinweg ist so groß und derart schwer verlässlich zu kontrollieren, dass Computerwissenschaftler Ed Felten empfiehlt davon auszugehen, dass alles, was auf dem Smartphone gespeichert ist, als Risiko zu betrachten.
Welche Maßnahmen kann man jedoch selbst ergreifen, um die Sicherheit der eigenen Daten in der Cloud zu erhöhen?
1. Starke Passwörter
Eines der häufigsten Einfallstore bieten schwache Passwörter. Wir haben daher sechs wichtige Tipps zur Passwort-Sicherheit zusammengestellt. Passwort-Leaks haben in der Vergangenheit immer wieder gezeigt, dass Passwörter wie „123456“ und „password“ zu den am häufigsten verwendeten Passwörtern gehören. Hier sind allerdings auch die Anbieter gefragt: während die Hacker dank der millionenfachen Passwort-Leaks über fundierte Erfolgswahrscheinlichkeiten für ihre Attacken verfügen, werden auf Anbieterseite nur einfache Anforderungen wie „Groß- und Kleinschreibung verwenden“ gestellt. Die den Hackern zur Verfügung stehenden Passwortlisten sollten hier von den Anbietern herangezogen werden, um die unsichersten und häufigsten Passwörter auszuschließen.
2. Schwierige Sicherheitsfragen
Stellen Sie sicher, dass die Antworten auf Ihre Sicherheitsfragen schwer zu erraten sind. Informationen, die zur Beantwortung der Frage beitragen könnten, sollten nicht online auffindbar sein. Häufig werden hier Fragen nach dem Geburtsort oder dem Mädchennamen der Mutter gestellt – Informationen, die sich meist ohne großen Aufwand recherchieren lassen. Es empfiehlt sich hier also ebenso wie bei den Passwörtern schwer zu erratende Phantasienamen zu wählen.
3. Zwei-Faktor-Authentifizierung
Nutzen Sie die Zwei-Faktor-Authentifizierung, wenn sie angeboten wird. Informieren Sie sich jedoch genau, welche Vorgänge durch das Feature geschützt werden. Hier findet sich ein Zusammenstellung zur Aktivierung der Zwei-Faktor-Authentifizierung für iCloud, Dropbox, Google Drive und Microsoft OneDrive.
4. E-Mail-Anhänge
Öffnen Sie keine E-Mail-Anhänge, wenn Sie nicht genau wissen, was diese enthalten. Unbekannte Anhänge können Viren enthalten, die Skripte wie das iBrute-Skript auf Ihr Gerät laden können.
5. Automatische Synchronisation
Wenn Sie Ihre Fotos nicht der Cloud anvertrauen möchten, stellen Sie sicher, dass die Synchronisation zwischen Smartphone und Cloud deaktiviert ist, um das automatische Hochladen von Daten zu vermeiden. Außerdem sollten Sie es vermeiden, Dateien, die sie nicht in einer Cloud wissen möchten, über Messenger-Dienste wie z.B. WhatsApp und Facebook-Messenger zu versenden.