Laut The Hacker News könnte es 2018 zu einem Datenleck kommen, bei dem die Informationen der Benutzer des iCloud-Dienstes offengelegt wurden. Apple hat solche Probleme jedoch nicht offiziell angekündigt.
Was ist das Problem
Ein türkischer Forscher für Informationssicherheit, Melih Sevim, kontaktierte Reporter. Er gab an, dass er eine Sicherheitsanfälligkeit in iCloud erkennen konnte, die es ihm ermöglichte, einige Daten der Konten anderer Personen im Dienst anzuzeigen - beispielsweise Notizen in Konten. Der Forscher konnte sowohl auf die Daten zufälliger Konten zugreifen als auch gezielt Informationen bestimmter Benutzer offenlegen. Dazu musste er die mit dem Dienst verbundene Telefonnummer kennen.
Laut Melikh entdeckte er im Oktober 2018 einen Fehler und meldete ihn bereits im November im Rahmen einer verantwortungsvollen Offenlegungsrichtlinie an Apple. Er fügte Anweisungen zur Reproduktion des Fehlers und eine Videodemonstration der Sicherheitsanfälligkeit bei.
Vertreter von Apple teilten dem Forscher im November 2018 mit, dass der Fehler behoben wurde, das Unternehmen ihn jedoch vor seiner Nachricht entdeckt habe. Danach wurde das Ticket sofort geschlossen.
Nach Angaben des Forschers ist die mögliche Sicherheitsanfälligkeit auf die Verbindung der in den Zahlungsinformationen Ihres Apple ID-Kontos gespeicherten Telefonnummer mit Ihrem iCloud-Konto zurückzuführen. Eine solche Verbindung entstand, wenn der Dienst auf dem Gerät mit der entsprechenden Nummer verwendet wurde.
Bestimmte Manipulationen des Forschers ermöglichten es ihm, die mit einem anderen Konto in iCloud verknüpfte Nummer zu speichern und dann teilweise auf die Daten dieses Kontos zuzugreifen.
"Angenommen, die Handynummer für das Konto abc@icloud.com lautet 12345. Wenn ich die Handynummer 12345 in meine Apple-ID eingebe, die unter xyz@icloud.com registriert ist, werden in xyz bestimmte Informationen zum abc-Konto angezeigt."
Dem Forscher zufolge konnte er während der Experimente auf die Notizen von iCloud-Benutzern zugreifen, in denen viele wichtige Informationen gespeichert waren - einschließlich Buchhaltungsinformationen von Bankkonten.
Da die Sicherheitsanfälligkeit im iCloud-Einstellungsbereich für iOS-Geräte enthalten war, konnte Apple sie im Hintergrund über das Internet beheben. Hierfür musste kein separates iOS-Update veröffentlicht werden.
Apple Reaktion
Melikh stellte eine Korrespondenz mit Reportern bereit, in der Mitarbeiter des Apple Security Team das Problem bestätigen und melden, dass es bereits behoben wurde.
In einer Antwort auf einen Brief von The Hacker News bestätigte Apple auch die Sicherheitsanfälligkeit und sagte, dass sie "im November 2018 behoben" wurde. Dabei wurden Fragen ignoriert, wie lange die Sicherheitsanfälligkeit im System vorhanden war, wie viele Benutzer ungefähr gemeldet wurden und welche Daten offengelegt wurden Gibt es Hinweise auf seine Ausbeutung durch Hacker?
Auch in dieser Woche wurde ein Fehler in FaceTime bekannt, durch den der Anrufer auf das Mikrofon und die Kamera anderer Personen zugreifen kann, auch wenn diese den Anruf nicht beantwortet haben. Entwickler mussten Group FaceTime deaktivieren, um Benutzer zu schützen.
Später wurde bekannt, dass die Mutter des Teenagers, der die Sicherheitsanfälligkeit entdeckte, eine Woche vor Bekanntwerden
versuchte , Apple
zu benachrichtigen. Niemand antwortete auf ihre Nachrichten in sozialen Netzwerken und auf den Fehlerbericht.
Forscher von Positive Technologies fanden auch Schwachstellen in Apple-Produkten. Im Sommer 2018 veröffentlichte das Unternehmen
ein Update für macOS High Sierra 10.13.4, mit dem die von Maxim Goryachy und Mark Ermolov entdeckte Sicherheitslücke in der Firmware von PCs (CVE-2018-4251) beseitigt wird. Die Sicherheitsanfälligkeit ermöglichte das Ausnutzen eines gefährlichen Fehlers im Intel Management Engine-Subsystem.