FFLB0X

AS1GBF > AKTUELL  09.08.12 09:17l 141 Lines 6504 Bytes #999 (800) @ DL
BID : 9M8AS1BOX_0C
Read: GAST
Subj: Die Sicherheit von Apple und der Cloud in der Praxis
Path: FFLB0X<DBO841<DBO763<AS1BOX
Sent: 120809/0403z @:AS1BOX.#NDB.BAY.DEU.BCMNET [LA JN68CQ] obcm1.07b5_bn6 LT:8
From: AS1GBF @ AS1BOX.#NDB.BAY.DEU.BCMNET (Andreas)
To:   AKTUELL @ DL
X-Info: Sent with login password

Hallo Funkfreunde,

stellt euch für einen kurzen Moment vor, euch würden gleichzeitig alle 
persönlichen Daten auf eurem Mobiltelefon, eurem Tablet und eurem PC, sowie 
alle E-Mails in eurem E-Mail-Account sowie der Account selbst gelöscht werden.


Genau das ist dem Journalisten Mat Honan vergangener Woche passiert.

Ich verfolge den Fall schon seit dem Wochenende, er ist so unglaublich und 
zeigt die mangelnde Sicherheit von Apple und der Cloud in der Praxis.

Mat Honan hat mit seiner Tochter gespielt als plötzlich sein iPhone nicht mehr

funktionierte. Nach einem Reboot meldet es sich mit dem Setup-Screen. Er war 
überrascht aber nicht beunruhigt, da sein Telefon täglich ein Backup in 
Apples iCloud machte. Er hat sein Passwort für die iCloud eingegeben, welches 
aber nicht akzeptiert wurde. Noch immer war er irritiert aber nicht alarmiert.

Er ging zu seinem Notebook um von dort das Backup auf sein Telefon zurück 
zuspielen. Als er seinen MacBook öffnete sah er eine iCal-Nachricht, dass sein

Gmail-Login falsch wäre. Daraufhin wurde der Bildschirm schwarz und hat nach 
der Eingabe einer vierstelligen PIN verlangt.

Ihm war jedoch keine vierstellige PIN bekannt.

Langsam begriff er, dass gerade etwas ziemlich schief läuft. Er nahm seinen 
iPad aus der Tasche, jedoch verweigerte auch dieser seinen Dienst.

Er war nicht mehr in der Lage sein iPhone, seinen iPad und sein MacBook zu 
benutzen.


Was war passiert?

Ein Unbekannter hat einen Trick bei Apple genutzt um über die Apple-Hotline an

das Passwort für die iCloud zu gelangen und daraufhin einen Remote-Wipe, also 
das Löschen aller auf seinen Apple-Geräten befindlichen Daten per 
Fernsteuerbefehl durchgeführt. Dies ist eine Funktion des von Apple 
angebotenen "Find My"-Dienstes. Darüber ist es möglich gestohlene Geräte zu 
lokalisieren und ferngesteuert alle privaten Daten darauf zu löschen, damit 
diese nicht in falsche Hände gelangen können.

Angefangen hat alles damit, dass ein unbekannter Angreifer den nur 
dreistelligen Twitter-Nicknamen von Mat Honan cool fand und übernehmen wollte.

Über einen Link bei Twitter fand er zur Homepage von Mat und dort gelangte er 
an seine E-Mail-Adresse beim Google-Dienst Gmail. Auf der Gmail-Seite startete

der Angreifer eine Anfrage zum Zurücksetzen des Passworts, woraufhin Gmail die

für diesen Zweck hinterlegte E-Mail-Adresse über welche der Passwort-Reset 
bestätigt werden muss anzeigte: m....n@me.com
Obwohl Google die Adresse unkenntlich macht, gehört nicht viel dazu anhand des

Nachnamens auf die volle E-Mail-Adresse bei Apples iCloud zu schließen 
(me.com ist Bestandteil der iCloud). Die Apple-ID ist dem Angreifer damit
bekannt.

Um sich nun bei Apple als Eigentümer eines Accounts ausweisen zu können, ist 
lediglich die Apple-ID, der Name, die Anschrift und die letzten 4 Stellen der 
Kreditkartennummer erforderlich.

Die Anschrift von Mat hat sich der Angreifer über eine whois-Abfrage seiner 
Internet-Domain beschafft. Besitzer einer eigenen Domain sind darüber mit 
Wohnort, Telefonnummer und E-Mail-Adresse identifizierbar. Für .de-Domains 
bietet beispielsweise DENIC diesen Dienst unter [1] an.

An die Kreditkartendaten ist der Angreifer über zwei Anrufe bei Amazon 
gelangt. Mit dem ersten Anruf hat er sich mittels Name, Anschrift und E-Mail-
Adresse als Accountinhalber zu erkennen gegeben, um eine zusätzliche 
Kreditkartennummer hinterlegen zu lassen. Diese kann über eine Webseite 
generiert werden welche gefakte Kreditkartennummern erstellen kann, die die 
Plausibilitätskriterien erfüllen.

Die gefakte Kreditkartennummer wurde für den zweiten Anruf benötigt, bei 
welchem der Angreifer vorgab Zugang zu seinem Amazon-Account verloren zu haben

und deshalb die E-Mail-Adresse ändern wolle. Amazon verlangt zur Verifizierung

des Anrufers dessen Namen, Anschrift und Kreditkartennummer. Nachdem die E-
Mail-Adresse von Amazon wie gewünscht geändert wurde, konnte der Angreifer 
über die Amazon-Webseite ein neues Passwort anfordern und schon war der 
Amazon-Zugang gehackt.

Als nächstes hat sich der Angreifer mit den neuen Zugangsdaten in den Amazon-
Account eingeloggt, um von dort die letzten 4 Stellen der Kreditkartennummer 
des Opfers abzulesen. Amazon macht zwar den Großteil der Kreditkartennummer 
unkenntlich, jedoch nicht die letzten 4 Stellen. Bei den meisten Anbietern und

auch auf den meisten Zahlungsbelegen werden die letzten 4 Ziffern nicht 
unkenntlich gemacht, damit der Nutzer die eingesetzte Kreditkarte 
identifizieren kann.

Das Prekäre daran: Daten welche Amazon als unwichtig genug einstuft um sie 
anzuzeigen, stuft Apple als sicher genug ein um eine Person zu identifizieren.

Mit der Apple-ID, Name, Anschrift und den letzten 4 Ziffern der 
Kreditkartennummer konnte sich der Angreifer nun bei Apple als Inhaber des 
iCloud-Accounts ausgeben, um ein neues Passwort zu erhalten. Erst einmal damit

eingeloggt war das Wipen des iPhone, iPad und MacBook mit wenigen Klicks 
erledigt.

Parallel zum Löschen der persönlichen Daten auf den Apple-Geräten, konnte der 
Angreifer nun auch für den Gmail-Account ein neues Passwort anfordern und sich

dieses an die Apple-E-Mail-Adresse senden lassen, um dann sogleich den Gmail-
Account mitsamt aller gespeicherten E-Mails zu löschen. Den Twitter-Account 
konnte der Angreifer auf ähnliche Weise übernehmen.

Der komplette Vorgang hat weniger als eine Stunde gedauert.

Mat Honan berichtet die Geschichte ausführlich unter [2] und in dem auf Wired 
erschienenen Artikel [3].

Amazon hat bereits reagiert [4] und akzeptiert per Telefon keine Änderung der 
E-Mail-Adresse und Kreditkartennummer mehr. Apple hat bis auf weiteres das 
Zurücksetzen des Passworts für die Apple-ID über Telefon ausgesetzt [5] [6].

Auch deutsche Medien haben bereits angefangen darüber zu berichten [7] [8] 
[9], was wohl im laufe des heutigen Donnerstags noch etwas mehr werden wird.

1. http://www.denic.de/domains/whois-service/webwhois.html
2. http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard
3. http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
4. http://tinyurl.com/d32ym62
5. http://www.wired.com/gadgetlab/2012/08/apple-icloud-password-freeze/
6. http://tinyurl.com/bqnd8dj
7. http://heise.de/-1660767
8. http://www.spiegel.de/netzwelt/web/a-848403.html
9. http://www.taz.de/Technik-Journalist-Mat-Honan-gehackt/!99088/

Grüße,

Andreas 


Lese vorherige Mail | Lese naechste Mail