Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Nacktfotos im Netz: Warum Apple nicht unschuldig ist

Von

   iCloud von Apple: Das Unternehmen bestätigt Zugriff auf private Fotos Zur Großansicht


iCloud von Apple: Das Unternehmen bestätigt Zugriff auf private Fotos

Wie gelangten die privaten Promi-Nacktbilder in die Hand von Hackern? Antworten finden sich in einem Online-Forum, wo Tipps zum "iCloud Ripping" ausgetauscht werden. Apple weist dennoch eine Mitschuld zurück.

Nachdem am Wochenende private Fotos von Jennifer Lawrence, Kirsten Dunst, Kate Upton und anderen Prominenten im Netz veröffentlicht wurden, ermittelt die Polizei: Wie konnten die Kriminellen auf die Bilder zugreifen? Und welche Rolle spielt dabei iCloud, Apples Internetspeicher?

Apple teilte am Dienstag mit, es habe sich um "zielgenaue Angriffe" auf Nutzernamen, Passwörter und Sicherheitsfragen der jeweiligen Opfer gehandelt. Man helfe den Behörden dabei, die Täter zu identifizieren. Generelle Sicherheitslücken bei iCloud oder der "Mein iPhone suchen"-Funktion schloss das Unternehmen hingegen aus.

Warum die Systeme einerseits sicher sein sollen und andererseits Unbekannte auf die intimen Aufnahmen zugreifen konnte, ist Gegenstand der Ermittlungen.

Software, die Passwörter knackt

In einem Forum tauschen sich die Nutzer über Software und Tricks aus, um an die privaten Fotos von Prominenten, Mitschülern und anderen Smartphone-Nutzern zu gelangen. "iCloud ripping" spielt dabei eine große Rolle. "Glaubt ihr, nach diesem Celebrity-Leak sind unsere iCloud-Ripping-Tage gezählt?", fragt ein Nutzer besorgt.

In diesem Forum sollen einige der Fotos zuerst gezeigt worden sein. Ein angeblicher Hacker behauptet dort, die insgesamt 101 ausgespähten Promis seien das Ergebnis einer monatelangen Aktion, an der er beteiligt gewesen sei. Aus dem Nacktfoto-Untergrund sollen einige der Bilder über 4chan zu Reddit an die Öffentlichkeit gelangt sein.

Nutzer des genannten Forums berichten von einer Software namens Elcomsoft Phone Password Breaker. Mit der soll die Sicherungskopie eines iPhones aus iCloud heruntergeladen und geknackt werden können. Die russische Firma Elcomsoft preist ihre Software als "forensisches Toolkit" an, zum stolzen Preis von 1495 Euro. Illegale Kopien des Programms gibt es im Netz. Damit der Foto-Zugriff funktioniert, brauchen die Angreifer entweder Zugang zu einem Computer, auf dem das iPhone gesichert worden ist, oder Nutzernamen und Passwort des iCloud-Kontos.

Die "Los Angeles Times" berichtet unter Berufung auf eine ungenannte Quelle, die Zugangsdaten seien über Phishing-Angriffe erbeutet worden. Dabei werden Nutzer mit täuschend echt aussehenden E-Mails oder Webseiten zur Herausgabe von Nutzernamen oder Passwörtern gebracht.

Kriminelle nutzen Software für Strafverfolger

Der IT-Forscher Jonathan Zdziarski hat sich die Metadaten der veröffentlichen Bilder genauer angesehen. Er halte es für wahrscheinlich, sagte er "Wired", dass die Daten aus einem Telefon-Backup stammen würden. Der Zugang zu iCloud allein würde Angreifern die Bilder nicht zur Verfügung stellen, dafür sei dann eine Software wie Elcomsoft Phone Password Breaker notwendig.

Entwickelt werden solche Programme von diversen Firmen, darunter auch Cellebrite und die Gamma Group. Die Angebote richten sich meist an Polizeibehörden und Geheimdienste, die Smartphones von Verdächtigen auslesen wollen. Meistens gehen die Unternehmen mit ihren Angeboten weitaus diskreter um als Elcomsoft.

Auch wenn noch nicht klar ist, wie der Zugriff auf die privaten Fotos genau erfolgt ist - Apple ist nicht so unschuldig, wie die Firma es gerade glauben machen will. Denn das Unternehmen setzt mit seinem System aus Nutzername, Passwort und Sicherheitsfragen darauf, dass Passwort und Sicherheitsfrage wirklich sicher sind.

Problem mit Sicherheitsfragen

Doch davon kann nicht die Rede sein. Zum einen muss das Apple-Passwort regelmäßig auch auf dem Smartphone oder Tablet eingetippt werden, etwa beim Herunterladen einer App. Da kann man von Nutzern schlecht erwarten, dass sie komplizierte, 20-stellige Passwörter verwenden. Außerdem lassen sich die Sicherheitsfragen angreifen.

Mit denen sollen Nutzer Zugang zu ihrem Konto bekommen, wenn sie ihr Passwort vergessen haben. "Wie hieß Ihr erstes Haustier?", "In welcher Straße sind sie aufgewachsen?", "Welche Spitznamen trugen Sie als Kind?", diese Fragen gibt Apple unter anderem vor. Nicht nur bei Prominenten, über die viel bekannt ist, können die Antworten womöglich leicht herausgefunden werden.

Um das zu verhindern, müssen Nutzer also tricksen - und sollten die Fragen lieber nicht ehrlich beantworten. "Hustensaft" als Antwort auf die Frage nach der Straße, in der man aufgewachsen ist, lässt sich weniger leicht erraten.

Es gibt eine weitere Theorie darüber, wie die Kriminellen an die Passwörter gekommen sein könnten: Zumindest bis zum Wochenende soll es möglich gewesen sein, auf der iCloud-Webseite von Apple beliebig viele Passwörter auszuprobieren. Hacker haben dafür ein Programm namens iBrute geschrieben und auf GitHub veröffentlicht, einer Plattform für Quellcode.

Andere Unternehmen, darunter viele Banken, setzen deswegen auf eine doppelte Anmeldung: Außer dem Passwort brauchen Nutzer dann einen weiteren Code, um sich anzumelden oder beispielsweise eine Überweisung zu tätigen.

Auch Apple bietet eine sogenannte zweistufige Bestätigung an, die Nutzer aber extra einrichten müssen. An E-Mails und Kontakte kommt ein Angreifer, der Nutzername und Passwort kennt, dann aber immer noch. Nur Einkäufe, Passwort-Änderungen und das Einrichten eines neuen vertrauenswürdigen Computers sind mit Apples doppelter Bestätigung zusätzlich geschützt.

Wer sich vor einem iCloud-Angriff schützen will, muss übrigens nur das Cloud-Backup und den Fotostream seines iPhone deaktivieren (Über "Einstellungen"->"iCloud"-"Speicher & Backup" bzw. ->"Fotos"). Dann allerdings ist anzuraten, regelmäßig auf dem eigenen Rechner lokale Backups zu speichern, damit die Daten nicht verloren sind, wenn das Handy verloren- oder kaputtgeht.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 34 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
markus_wienken 03.09.2014
Wer ist denn wirklich so blöd und gibt bei den Sicherheitsfragen die richtigen Antworten an? Kopfschüttel
2.
Qual 03.09.2014
Der Tipp widerspricht völlig dem technischen Trend.
3.
schwallofix5000 03.09.2014
Wer seine privaten Daten in einer Cloud speichert, ist selbst dran schuld wenn diese Daten anderen Leuten in die Hände fallen. ich finde sonnenschein eh toller als clouds ;)
4. Komplizierte Passwörter...
SCHTONK! 03.09.2014
...sind aber das einzige Mittel, um eine gewisse (minimale) Sicherheit zu gewährleisten. Und diese zu verwenden, kann durchaus von einem Nutzer erwartet werden, dem seine Daten lieb und teuer sind.
5.
smersh 03.09.2014
Zitat von markus_wienkenWer ist denn wirklich so blöd und gibt bei den Sicherheitsfragen die richtigen Antworten an? Kopfschüttel
Es würde mich nicht wundern, wenn das die meisten machen. Und sicher, wenn ein Angreifer die Antwort recherchiert, dann ist das Mist. Falsche Antworten sind aber auch nicht das Gelbe vom Ei - wenn man irgendwann bei einem von Dutzenden oder gar Hunderten von Benutzerkonten das Passwort vergessen haben sollte, erinnert man sich dann wirklich noch an die Quatschantwort, die man vor acht Jahren für die Sicherheitsabfrage vorgegeben hat? Es sei denn natürlich, man benutzt überall die gleiche, aber dann schütteln die Sicherheitsexperten auch wieder mit dem Kopf.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH





Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: