Apple Silent als Schuld für das Leaks von nackten Prominenten bleibt unklar
Aktualisiert — 14:40 Uhr, EST
02.09.2014, 18:42 UhrApple PR hat eine Erklärung veröffentlicht, in der behauptet wird, dass es keine umfassende Verletzung von iCloud gegeben hat:
Wir wollten unsere Ermittlungen zum Diebstahl von Fotos bestimmter Prominenter auf den neuesten Stand bringen. Als wir von dem Diebstahl erfuhren, waren wir empört und mobilisierten sofort die Ingenieure von Apple, um die Quelle herauszufinden. Die Privatsphäre und Sicherheit unserer Kunden sind für uns von größter Bedeutung. Nach mehr als 40 Stunden Untersuchung haben wir festgestellt, dass bestimmte Konten von Prominenten durch einen sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen kompromittiert wurden, eine Praxis, die im Internet nur allzu verbreitet ist. Keiner der von uns untersuchten Fälle ist auf einen Verstoß in einem der Apple-Systeme zurückzuführen, einschließlich iCloud® oder Find my iPhone. Wir arbeiten weiterhin mit den Strafverfolgungsbehörden zusammen, um die Ermittlung der beteiligten Kriminellen zu unterstützen.
Um sich vor dieser Art von Angriffen zu schützen, empfehlen wir allen Benutzern, immer ein starkes Passwort zu verwenden und die zweistufige Überprüfung zu aktivieren. Beide werden auf unserer Website unter http://support.apple.com/kb/ht4232 angesprochen.
Als sich der Staub auf dem anfänglicher Image-Dump von Nacktfotos von Prominenten, die am Sonntagnachmittag in Umlauf kamen, suchen Sicherheitsforscher, Strafverfolgungsbehörden und regelmäßige Telefonbenutzer, die sich vor der Cloud fürchten, nach Antworten. Und Apple, das weitgehend als das schwache Sicherheitsglied angesehen wird, schweigt.
Im gesamten Internet werden die Bildlecks regelmäßig als „iCloud-Hack“ bezeichnet, dank der ursprünglichen 4chan-Fotoposts, in denen behauptet wurde, dass die Fotos über den Cloud-Speicher von Apple abgerufen wurden. Und mehrere Websites haben beide identifiziert bemerkenswerte Sicherheitslücken in iCloud (über Find My Phone) sowie gut dokumentierte Gemeinschaften von iCloud-Hackern, die Passwörter mit „Brute-Force“-Programmen knacken können (die unbegrenzte Versuche zum Erraten von Passwörtern ermöglichen) und Fotos herunterladen in großen Mengen.
Drei Sicherheitsforscher sagten BuzzFeed jedoch, dass es zu früh sei, diese Sicherheitsverletzung dem Apple Cloud-Dienst zuzuordnen, und deuteten stattdessen an, dass die Fotos über einen langen Zeitraum durch mehrere einzelne Hacks erlangt und dann durch den Handel zu einer größeren Sammlung zusammengestellt wurden undurchsichtige Online-Foren.
4chan Bryan Hamade, einer der Hauptverdächtigen in dem Leck, sagte BuzzFeed am Montag: „Es scheint, dass die Fotos an mehrere Personen weitergegeben wurden, bevor sie durchgesickert sind, also kann es nur jemand sein, der sie hat und nicht gehackt hat, um sie zu bekommen. Sie scheinen eine riesige Sammlung angehäuft zu haben, die Bilder für Bilder tauscht, und es ist möglich, dass der, an den sie es verkauft haben, gestern angefangen hat, die Bilder durchsickern zu lassen.'
Troy Hunt, ein australischer Sicherheitsautor und Experte, sagte, dass die Tatsache, dass gefälschte Fotos aufgetaucht sind, die Schwere des Verstoßes untergraben könnte. Wenn das stimmt (dass einige Fotos gefälscht sind), stellt dies die Legitimität des 'Hack' in Frage, schrieb er in einer E-Mail an BuzzFeed.
„Wir werden vielleicht feststellen, dass der Angriffsvektor dem eines Australisches Szenario Ich habe darüber geschrieben, dass ein separater Angriff (wie eine Phishing-Kampagne) erfolgreich Zugangsdaten erhalten hat. Das hängt dann natürlich auch damit zusammen, dass andere Aspekte der Sicherheit der Opfer schlecht sind (z. B. fehlende Zwei-Faktor-Authentifizierung), und das ist völlig plausibel“, sagte er.
Hunt fügte hinzu, dass die Art der durchgesickerten Bilder – eine Vielzahl von Prominenten, viele undurchsichtige sowie kaum persönliche InformationenAußerdemFotos – bedeutet, dass auch ein vollständiger Verstoß gegen iCloud weniger wahrscheinlich ist. 'Eine Frage, die es wert ist, gestellt zu werden, ist, warum Prominente das 'Ziel' sind', sagte Hunt. „Wenn es eine Schwachstelle in iCloud per se gäbe, würde man erwarten, dass der „Hack“ ziemlich wahllos erfolgt. Ja, es gibt einen größeren finanziellen Vorteil, wenn ein Angreifer Fotos und Videos von hochkarätigen Personen erhält, aber diese sind ein winziger Prozentsatz des breiteren Apple-Ökosystems und Sie würden erwarten, dass den normalen Bürgern mehr „Kollateralschaden“ droht.
Und der Johns Hopkins Informatikprofessor und Infosicherheitsexperte Matthew Green warnte die New-Yorker's Jay Caspian Kang dass 'es immer noch keinen Beweis für einen groß angelegten iCloud-Einbruch gibt oder dass die Bilder auf einmal von den Servern gerissen wurden.'
Allerdings kann Apple zumindest für einige der Verstöße immer noch teilweise schuld sein. Laut einem Bericht von Das nächste Webist Owen Williams , die Schwachstelle Find My Friends ermöglichte es böswilligen Benutzern, das Passwort eines Zielkontos in der iCloud von Apple mit Brute Force zu erzwingen. Williams fährt fort, dass 'Brute-Force-Angriffe darin bestehen, ein bösartiges Skript zu verwenden, um wiederholt Passwörter zu erraten, um das richtige zu finden.'
Ohne Passwort-Timeout könnten Hacker Passwörter unbegrenzt oft erraten, wodurch sie möglicherweise Programme ausführen und Millionen von Variationen ausprobieren können, um Zugang zu erhalten. Wenn dies der Fall ist, wäre dies eine große Sicherheitslücke und im Falle der über iCloud gehackten Konten ausschließlich Apples Schuld.
Der Zeitpunkt ist auch nicht ideal für Apple, das der Keynote in der nächsten Woche höchstwahrscheinlich den letzten Schliff geben wird, wo das Unternehmen eine Reihe neuer Produkte vorstellen wird, darunter neue iPhones und ein mit Spannung erwartetes tragbares Gerät. Teil der Wearable-Strategie von Apple ist es, obsessiv persönliche Gesundheitsdaten verfolgen , die angeblich in den Cloud-Diensten von Apple gespeichert würden – medizinische Daten, die so persönlich sind, dass Apple laut Morgan Stanley Blutforscher engagiert hat, um zu helfen. Angesichts der aufkommenden Fragen zur Cloud-Sicherheit von Apple ist es möglich, dass diese und andere neue Funktionen darunter leiden.
apple.com Zwei Tage nach der Affäre ist der einzige Kommentar des Unternehmens zur Verletzung der Privatsphäre von Prominenten eine kurze Nachricht über die Apple-Sprecherin Natalie Kerris zuUmcodieren , dass Apple die Privatsphäre der Benutzer sehr ernst nimmt und diesen Bericht aktiv untersucht.
Apple hat bisher mehrere Anfragen nach Kommentaren von BuzzFeed bezüglich der iCloud-Sicherheitslücke (die das Unternehmen angeblich gepatcht am Montagmorgen) sowie die Art der Promi-Hacks und ob sie alle auf einen größeren iCloud-Verstoß zurückzuführen sind. Ein erheblicher Teil des aktuellen Mobil- und Desktop-Ökosystems von Apple wird mit Unterstützung von iCloud betrieben und viele der zukunftsweisenden Initiativen des Unternehmens hängen von einer sicheren Cloud ab.
Jennifer Lawrence, Lea Michele und andere Promis, die Opfer weiterer mutmaßlicher Foto- und Videolecks
Buzzfeed.com
Der Mann, den Redditors für das nackte Leak von Jennifer Lawrence verantwortlich machen, sagt, er sei unschuldig
Buzzfeed.com