Als vergangenen September plötzlich zahlreiche Nacktfotos von Hollywood-Schauspielerinnen auftauchten, kam schnell Apples iCloud als Quelle in Verdacht. Wie sich herausstellte, hatte der iPhone-Hersteller bei der Sicherheit seines Online-Speichers ordentlich gepatzt, und zum Teil auf das sogenannte "Rate Limiting" vergessen, das nach einer kleinen Zahl von falschen Versuchen den Zugriff temporär blockiert. Dadurch wurden "Brute Force"-Attacken möglich, bei denen einfach so lange Zeichen- und Begriffskombinationen ausprobiert werden, bis eine passt.

Reaktion

Apple reagierte nach Bekanntwerden des Problems recht flott und schloss die auch von einem Tool namens iBrute genutzte Lücke. Auch sonst bemühte man sich, in der Öffentlichkeit zu betonen, dass man die iCloud künftig besser absichern wolle, etwa mittels der durchgehenden Nutzung von Zwei-Weg-Authentifizierung.

iDict

Nun ist allerdings ein neues Tool aufgetaucht, das Apples Aussagen als reichlich "optimistisch" erscheinen lassen. Ein unter dem Pseudonym Pr0x13 agierender Hacker hat auf Github den Source Code für ein Programm namens iDict veröffentlicht, das verspricht, Brute-Force-Attacken gegen iCloud-Accounts wieder zu ermöglichen und dabei auch die Zwei-Weg-Authentifizierung austricksen zu können.

Trivial

Der Entwickler des Exploits behauptet, dass er den Hack selbst nicht getestet habe. Er sei allerdings dermaßen trivial, dass er funktionieren sollte. Auf Reddit bestätigen denn auch einige Nutzer, dass iDict tatsächlich funktioniert. Ein User hat mittlerweile sogar eine Python-Portierung des ursprünglichen PHP-Codes vorgenommen.

Password-Check

Pr0x13 hofft laut eigenen Aussagen durch die Veröffentlichung des Exploits Druck auf Apple ausüben zu können, damit diese gravierende Sicherheitslücke endlich geschlossen werde. Den iCloud-Nutzern sei - nicht nur - angesichts der aktuellen Bedrohungslage angeraten, noch einmal zu überprüfen, ob ihr Passwort auch die nötige Komplexität aufweist, um einer Brute-Force-Attacke widerstehen zu können. (apo, derStandard.at, 2.1.2015)