|
AS1GBF > AKTUELL 09.08.12 09:17l 141 Lines 6504 Bytes #999 (800) @ DL
BID : 9M8AS1BOX_0C
Read: GAST
Subj: Die Sicherheit von Apple und der Cloud in der Praxis
Path: FFLB0X<DBO841<DBO763<AS1BOX
Sent: 120809/0403z @:AS1BOX.#NDB.BAY.DEU.BCMNET [LA JN68CQ] obcm1.07b5_bn6 LT:8
From: AS1GBF @ AS1BOX.#NDB.BAY.DEU.BCMNET (Andreas)
To: AKTUELL @ DL
X-Info: Sent with login password
Hallo Funkfreunde,
stellt euch für einen kurzen Moment vor, euch würden gleichzeitig alle
persönlichen Daten auf eurem Mobiltelefon, eurem Tablet und eurem PC, sowie
alle E-Mails in eurem E-Mail-Account sowie der Account selbst gelöscht werden.
Genau das ist dem Journalisten Mat Honan vergangener Woche passiert.
Ich verfolge den Fall schon seit dem Wochenende, er ist so unglaublich und
zeigt die mangelnde Sicherheit von Apple und der Cloud in der Praxis.
Mat Honan hat mit seiner Tochter gespielt als plötzlich sein iPhone nicht mehr
funktionierte. Nach einem Reboot meldet es sich mit dem Setup-Screen. Er war
überrascht aber nicht beunruhigt, da sein Telefon täglich ein Backup in
Apples iCloud machte. Er hat sein Passwort für die iCloud eingegeben, welches
aber nicht akzeptiert wurde. Noch immer war er irritiert aber nicht alarmiert.
Er ging zu seinem Notebook um von dort das Backup auf sein Telefon zurück
zuspielen. Als er seinen MacBook öffnete sah er eine iCal-Nachricht, dass sein
Gmail-Login falsch wäre. Daraufhin wurde der Bildschirm schwarz und hat nach
der Eingabe einer vierstelligen PIN verlangt.
Ihm war jedoch keine vierstellige PIN bekannt.
Langsam begriff er, dass gerade etwas ziemlich schief läuft. Er nahm seinen
iPad aus der Tasche, jedoch verweigerte auch dieser seinen Dienst.
Er war nicht mehr in der Lage sein iPhone, seinen iPad und sein MacBook zu
benutzen.
Was war passiert?
Ein Unbekannter hat einen Trick bei Apple genutzt um über die Apple-Hotline an
das Passwort für die iCloud zu gelangen und daraufhin einen Remote-Wipe, also
das Löschen aller auf seinen Apple-Geräten befindlichen Daten per
Fernsteuerbefehl durchgeführt. Dies ist eine Funktion des von Apple
angebotenen "Find My"-Dienstes. Darüber ist es möglich gestohlene Geräte zu
lokalisieren und ferngesteuert alle privaten Daten darauf zu löschen, damit
diese nicht in falsche Hände gelangen können.
Angefangen hat alles damit, dass ein unbekannter Angreifer den nur
dreistelligen Twitter-Nicknamen von Mat Honan cool fand und übernehmen wollte.
Über einen Link bei Twitter fand er zur Homepage von Mat und dort gelangte er
an seine E-Mail-Adresse beim Google-Dienst Gmail. Auf der Gmail-Seite startete
der Angreifer eine Anfrage zum Zurücksetzen des Passworts, woraufhin Gmail die
für diesen Zweck hinterlegte E-Mail-Adresse über welche der Passwort-Reset
bestätigt werden muss anzeigte: m....n@me.com
Obwohl Google die Adresse unkenntlich macht, gehört nicht viel dazu anhand des
Nachnamens auf die volle E-Mail-Adresse bei Apples iCloud zu schließen
(me.com ist Bestandteil der iCloud). Die Apple-ID ist dem Angreifer damit
bekannt.
Um sich nun bei Apple als Eigentümer eines Accounts ausweisen zu können, ist
lediglich die Apple-ID, der Name, die Anschrift und die letzten 4 Stellen der
Kreditkartennummer erforderlich.
Die Anschrift von Mat hat sich der Angreifer über eine whois-Abfrage seiner
Internet-Domain beschafft. Besitzer einer eigenen Domain sind darüber mit
Wohnort, Telefonnummer und E-Mail-Adresse identifizierbar. Für .de-Domains
bietet beispielsweise DENIC diesen Dienst unter [1] an.
An die Kreditkartendaten ist der Angreifer über zwei Anrufe bei Amazon
gelangt. Mit dem ersten Anruf hat er sich mittels Name, Anschrift und E-Mail-
Adresse als Accountinhalber zu erkennen gegeben, um eine zusätzliche
Kreditkartennummer hinterlegen zu lassen. Diese kann über eine Webseite
generiert werden welche gefakte Kreditkartennummern erstellen kann, die die
Plausibilitätskriterien erfüllen.
Die gefakte Kreditkartennummer wurde für den zweiten Anruf benötigt, bei
welchem der Angreifer vorgab Zugang zu seinem Amazon-Account verloren zu haben
und deshalb die E-Mail-Adresse ändern wolle. Amazon verlangt zur Verifizierung
des Anrufers dessen Namen, Anschrift und Kreditkartennummer. Nachdem die E-
Mail-Adresse von Amazon wie gewünscht geändert wurde, konnte der Angreifer
über die Amazon-Webseite ein neues Passwort anfordern und schon war der
Amazon-Zugang gehackt.
Als nächstes hat sich der Angreifer mit den neuen Zugangsdaten in den Amazon-
Account eingeloggt, um von dort die letzten 4 Stellen der Kreditkartennummer
des Opfers abzulesen. Amazon macht zwar den Großteil der Kreditkartennummer
unkenntlich, jedoch nicht die letzten 4 Stellen. Bei den meisten Anbietern und
auch auf den meisten Zahlungsbelegen werden die letzten 4 Ziffern nicht
unkenntlich gemacht, damit der Nutzer die eingesetzte Kreditkarte
identifizieren kann.
Das Prekäre daran: Daten welche Amazon als unwichtig genug einstuft um sie
anzuzeigen, stuft Apple als sicher genug ein um eine Person zu identifizieren.
Mit der Apple-ID, Name, Anschrift und den letzten 4 Ziffern der
Kreditkartennummer konnte sich der Angreifer nun bei Apple als Inhaber des
iCloud-Accounts ausgeben, um ein neues Passwort zu erhalten. Erst einmal damit
eingeloggt war das Wipen des iPhone, iPad und MacBook mit wenigen Klicks
erledigt.
Parallel zum Löschen der persönlichen Daten auf den Apple-Geräten, konnte der
Angreifer nun auch für den Gmail-Account ein neues Passwort anfordern und sich
dieses an die Apple-E-Mail-Adresse senden lassen, um dann sogleich den Gmail-
Account mitsamt aller gespeicherten E-Mails zu löschen. Den Twitter-Account
konnte der Angreifer auf ähnliche Weise übernehmen.
Der komplette Vorgang hat weniger als eine Stunde gedauert.
Mat Honan berichtet die Geschichte ausführlich unter [2] und in dem auf Wired
erschienenen Artikel [3].
Amazon hat bereits reagiert [4] und akzeptiert per Telefon keine Änderung der
E-Mail-Adresse und Kreditkartennummer mehr. Apple hat bis auf weiteres das
Zurücksetzen des Passworts für die Apple-ID über Telefon ausgesetzt [5] [6].
Auch deutsche Medien haben bereits angefangen darüber zu berichten [7] [8]
[9], was wohl im laufe des heutigen Donnerstags noch etwas mehr werden wird.
1. http://www.denic.de/domains/whois-service/webwhois.html
2. http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard
3. http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
4. http://tinyurl.com/d32ym62
5. http://www.wired.com/gadgetlab/2012/08/apple-icloud-password-freeze/
6. http://tinyurl.com/bqnd8dj
7. http://heise.de/-1660767
8. http://www.spiegel.de/netzwelt/web/a-848403.html
9. http://www.taz.de/Technik-Journalist-Mat-Honan-gehackt/!99088/
Grüße,
Andreas
Lese vorherige Mail | Lese naechste Mail
| |