Grafik: Sam Curry

Zum zweiten Mal innerhalb weniger Tage muss sich Apple unangenehme Fragen zur Sicherheit seiner Produkte gefallen lassen – denn auch wenn Sicherheitslücken in Software nie vollständig auszuschließen sind, das, was Hacker nun bei den Webservices von Apple gefunden haben, zeichnet ein wenig erfreuliches Bild.

Details

Insgesamt 55 Sicherheitslücken hat ein Team rund um den zwanzigjährigen Hacker Sam Curry bei iCloud und Co aufgespürt. Von diesen fallen wiederum elf unter die höchste Gefahrenstufe "kritisch". Mit diesen hätten weniger freundlich gesinnte Angreifer allen möglichen Unsinn treiben können: So befinden sich darunter gleich mehrere Lücken, über die ein iCloud-Konto komplett hätte übernommen werden können.

Samuel Curry

Was das Ganze noch schlimmer macht: Ein solcher Angriff ist geradezu trivial. Es reichte, einer Zielperson eine Mail mit speziellen Zeichen zu schicken, um den Fehler auszulösen. Öffnet das Opfer dann diese Mail, ließ sich das Konto vollständig kapern, es gab also Zugriff auf Fotos, Adressbuch und alle anderen Daten in der iCloud. Doch nicht nur das, waren diese Lücken auch noch "wurmfähig" – ein Angreifer hätte sie also auch nutzen können, um in der Folge weitere Nutzerkonten zu attackieren.

Großer Schaden möglich

Dazu kommt unter anderem noch ein Bug im Autorisierungssystem, über den aus der Ferne Schadcode hätte ausgeführt werden können. Oder auch Fehler, die die Manipulation von Datenbankeinträgen am Server sowie den Zugriff auf interne Systeme von Apple ermöglicht hätten. In Summe hätten Angreifer damit also einen riesigen Schaden – nicht zuletzt auch für das Ansehen des Unternehmens – anrichten können.

Curry versteht sich als "White Hat", also ein Hacker mit noblen Absichten. Insofern wurde Apple auch vor der Öffentlichkeit über all die Probleme informiert. Mittlerweile sollen die Bugs alle bereinigt sein. Zudem erhalten die Hacker für ihre Arbeit im Rahmen des Bug-Bounty-Programms von Apple eine Belohnung in sechsstelliger Höhe. Bisher soll Apple 288.500 Dollar zugesagt haben, schlussendlich könnten es aber an die 500.000 werden – bisher ist dieser Einschätzungsprozess noch nicht abgeschlossen.

Weitere Details zu all den aufgespürten Lücken liefern die Hacker in einem ausführlichen Blogposting. Für die Aufspürung der Fehler hat man in Summe rund drei Monate Zeit investiert. (apo, 9.10.2020)