Apples iCloud-Protokoll von Sicherheitsforscher geknackt

Apple iCloud (Grafik: Apple)

Ein russischer Sicherheitsforscher hat das Protokoll von Apples iCloud geknackt. Es ist nicht durch eine Zwei-Faktor-Authentifizierung geschützt. Ohne Wissen des Nutzers können Unbekannte auf die iCloud-Daten zugreifen. Die iCloud-Backups speichert Apple auch auf Servern von Amazon und Microsoft, so Vladimir Katalov.

Apples iCloudDer CEO des russischen Sicherheitsanbieters Elcomsoft, Vladimir Katalov, hat sich die proprietären Protokolle der Apple-Dienste iCloud und Find My iPhone genauer angeschaut. Er hat herausgefunden, dass diese nicht durch die Zwei-Faktor-Authentifizierung von Apple geschützt werden. Somit können die iCloud-Daten eines Nutzers ohne dessen Wissen heruntergeladen werden.

Auf der Konferenz Hack In The Box in Kuala Lumpur, Malaysia, stellte Katalov seine Ergebnisse vor. Apple kann demzufolge auf Informationen und Daten der Nutzer zugreifen. Das Unternehmen hatte dies bislang bestritten. Um zum Beispiel ein iCloud-Backup durchzuführen, benötigen Angreifer zwar die Apple-ID und das Passwort eines Opfers, aber nicht das mit dem iCloud verbundene iOS-Gerät.

Die Daten die auf iCloud abgelegt werden, sind laut Katalov zwar verschlüsselt, der Schlüssel aber wird zusammen mit den Daten gespeichert. Zudem sei Apple im Besitz der Schlüssel. Darüber hinaus habe er festgestellt, dass zusätzlich zu diesen Schwachstellen in der Sicherheitskette, die iCloud-Daten von Apple auf Servern von Amazon und Microsoft gespeichert werden.

Apple könne die Daten auch Strafverfolgungsbehörden zur Verfügung stellen, da die Storage-Provider Microsoft und Amazon einen vollständigen Zugriff auf die Daten hätten. Im Juli hatte die Firma aus Cupertino in einer Stellungnahme zu den PRISM-Enthüllungen versichert, keine Hintertüren für Regierungsbehörden zu öffnen. “Apple gibt Strafverfolgern keinen Zugang zu seinen Servern.”

Katalov hält dies für möglich. Wird ein iCloud-Backup vom Nutzer erstellt, erhält er eine E-Mail über den erfolgreichen Abschluss des Vorgangs. Wird das Backup aber nicht auf das Gerät des Nutzers heruntergeladen, wird auch keine Benachrichtigung versendet. Ruft also ein Dritter diese Daten ab, geschieht das ohne das Wissen des Nutzers.

Katalov untersuchte die Protokolle, indem er den HTTP-Datenverkehr von gejailbreakten Geräten überwachte. Auch Besitzer von nicht entsperrten iPhones und iPads seien von den Schwächen in den Protokollen betroffen. Die Authentifizierungs-Tokens für den Zugriff auf ein iCloud-Backup, die Backup-ID und die Schlüssel könne man durch einfache Abfragen erhalten. Damit sei es wiederum möglich, die Dateien von Windows Azure oder Amazon AWS herunterzuladen.

Katalov sagte gegenüber ZDNet USA, dass es sich bei den entdeckten Schwächen nicht um Anfälligkeiten handle. Laut dem Sicherheitsforscher sei die Ausweitung der Zwei-Faktor-Authentifizierung auf iCloud und Mein iPhone suchen jedoch nicht möglich. “Nur ein nachträglicher Einfall” sei möglicherweise die Implementierung der Technik durch Apple. Schützen können sich Nutzer nur, wenn sie auf iCloud verzichten. Katalov selber nutze iCloud allerdings weiter als Backup-Dienst für seine iOS-Geräte.

Der Sicherheitsforscher Vladimir Katalov hat festgestellt, dass iCloud nicht durch Apples Zwei-Faktor-Authentifizierung geschützt wird (Bild: Violet Blue / ZDNet.com).
Der Sicherheitsforscher Vladimir Katalov hat festgestellt, dass iCloud nicht durch Apples Zwei-Faktor-Authentifizierung geschützt wird (Bild: Violet Blue / ZDNet.com).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de