Digital
Apple

Nacktfotos von Prominenten im Netz: Warum Apple nicht unschuldig ist 

Der Internetspeicher iCloud von Apple: Das Unternehmen bestätigt Zugriff auf private Fotos.
Der Internetspeicher iCloud von Apple: Das Unternehmen bestätigt Zugriff auf private Fotos.bild: spon
iCloud-Hack

Nacktfotos von Prominenten im Netz: Warum Apple nicht unschuldig ist 

Wie gelangten die privaten Promi-Nacktbilder in die Hand von Hackern? Antworten finden sich in einem Online-Forum, wo Tipps zum «iCloud Ripping» ausgetauscht werden. Apple weist dennoch eine Mitschuld zurück. 
03.09.2014, 16:0503.09.2014, 16:29
ole reissmann
Mehr «Digital»
Ein Artikel von
Spiegel Online

Nachdem am Wochenende private Fotos von Jennifer Lawrence, Kirsten Dunst, Kate Upton und anderen Prominenten im Netz veröffentlicht wurden, ermittelt die Polizei: Wie konnten die Kriminellen auf die Bilder zugreifen? Und welche Rolle spielt dabei iCloud, Apples Internetspeicher? 

Apple teilte am Dienstag mit, es habe sich um «zielgenaue Angriffe» auf Nutzernamen, Passwörter und Sicherheitsfragen der jeweiligen Opfer gehandelt. Man helfe den Behörden dabei, die Täter zu identifizieren. Generelle Sicherheitslücken bei iCloud oder der «Mein iPhone suchen»-Funktion schloss das Unternehmen hingegen aus

Warum die Systeme einerseits sicher sein sollen und andererseits Unbekannte auf die intimen Aufnahmen zugreifen konnten, ist Gegenstand der Ermittlungen. 

Programme, die iCloud-Backups knacken

In einem Forum tauschen sich die Nutzer über Software und Tricks aus, um an die privaten Fotos von Prominenten, Mitschülern und anderen Smartphone-Nutzern zu gelangen. «iCloud ripping» spielt dabei eine grosse Rolle. «Glaubt ihr, nach diesem Celebrity-Leak sind unsere iCloud-Ripping-Tage gezählt?», fragt ein Nutzer besorgt. 

In diesem Forum sollen einige der Fotos zuerst gezeigt worden sein. Ein angeblicher Hacker behauptet dort, die insgesamt 101 ausgespähten Promis seien das Ergebnis einer monatelangen Aktion, an der er beteiligt gewesen sei. Aus dem Nacktfoto-Untergrund sollen einige der Bilder über 4chan zu Reddit an die Öffentlichkeit gelangt sein

Nutzer des genannten Forums berichten von einer Software namens Elcomsoft Phone Password Breaker. Mit der soll die Sicherungskopie eines iPhones aus iCloud heruntergeladen und geknackt werden können. Die russische Firma Elcomsoft preist ihre Software als «forensisches Toolkit» an, zum stolzen Preis von 1495 Euro. Illegale Kopien des Programms gibt es im Netz. Damit der Foto-Zugriff funktioniert, brauchen die Angreifer entweder Zugang zu einem Computer, auf dem das iPhone gesichert worden ist, oder Nutzernamen und Passwort des iCloud-Kontos. 

Die «Los Angeles Times» berichtet unter Berufung auf eine ungenannte Quelle, die Zugangsdaten seien über Phishing-Angriffe erbeutet worden. Dabei werden Nutzer mit täuschend echt aussehenden E-Mails oder Webseiten zur Herausgabe von Nutzernamen oder Passwörtern gebracht. 

Mehr zum Thema

Kriminelle nutzen Polizeisoftware

Der IT-Forscher Jonathan Zdziarski hat sich die Metadaten der veröffentlichten Bilder genauer angesehen. Er halte es für wahrscheinlich, sagte er «Wired», dass die Daten aus einem Telefon-Backup stammen würden. Der Zugang zu iCloud allein würde Angreifern die Bilder nicht zur Verfügung stellen, dafür sei dann eine Software wie Elcomsoft Phone Password Breaker notwendig. 

Auch wenn noch nicht klar ist, wie der Zugriff auf die privaten Fotos genau erfolgt ist – Apple ist nicht so unschuldig, wie die Firma es gerade glauben machen will.

Entwickelt werden solche Programme von diversen Firmen, darunter auch Cellebrite und die Gamma Group. Die Angebote richten sich meist an Polizeibehörden und Geheimdienste, die Smartphones von Verdächtigen auslesen wollen. Meistens gehen die Unternehmen mit ihren Angeboten weitaus diskreter um als Elcomsoft. 

Auch wenn noch nicht klar ist, wie der Zugriff auf die privaten Fotos genau erfolgt ist – Apple ist nicht so unschuldig, wie die Firma es gerade glauben machen will. Denn das Unternehmen setzt mit seinem System aus Nutzername, Passwort und Sicherheitsfragen darauf, dass Passwort und Sicherheitsfrage wirklich sicher sind

Einfach zu erratende Sicherheitsfragen machen es den Hackern leicht

Doch davon kann nicht die Rede sein. Zum einen muss das Apple-Passwort regelmässig auch auf dem Smartphone oder Tablet eingetippt werden, etwa beim Herunterladen einer App. Da kann man von Nutzern schlecht erwarten, dass sie komplizierte, 20-stellige Passwörter verwenden. Ausserdem lassen sich die Sicherheitsfragen angreifen. 

Mit denen sollen Nutzer Zugang zu ihrem Konto bekommen, wenn sie ihr Passwort vergessen haben. «Wie hiess Ihr erstes Haustier?», «In welcher Strasse sind Sie aufgewachsen?», «Welche Spitznamen trugen Sie als Kind?», diese Fragen gibt Apple unter anderem vor. Nicht nur bei Prominenten, über die viel bekannt ist, können die Antworten womöglich leicht herausgefunden werden. 

Um das zu verhindern, müssen Nutzer also tricksen – und sollten die Fragen lieber nicht ehrlich beantworten. «Hustensaft16B» als Antwort auf die Frage nach der Strasse, in der man aufgewachsen ist, lässt sich weniger leicht erraten

Jetzt auf

Wichtig: zweistufige Bestätigung für iCloud aktivieren

Es gibt eine weitere Theorie darüber, wie die Kriminellen an die Passwörter gekommen sein könnten: Zumindest bis zum Wochenende soll es möglich gewesen sein, auf der iCloud-Webseite von Apple beliebig viele Passwörter auszuprobieren. Hacker haben dafür ein Programm namens iBrute geschrieben und auf GitHub veröffentlicht, einer Plattform für Quellcode. 

Andere Unternehmen, darunter viele Banken, setzen deswegen auf eine doppelte Anmeldung: Ausser dem Passwort brauchen Nutzer dann einen weiteren Code, um sich anzumelden oder beispielsweise eine Überweisung zu tätigen. 

Auch Apple bietet eine sogenannte zweistufige Bestätigung an, die Nutzer aber extra einrichten müssen. Wie dies geht, haben wir hier erklärt. An E-Mails und Kontakte kommt ein Angreifer, der Nutzername und Passwort kennt, dann aber immer noch. Nur Einkäufe, Passwort-Änderungen und das Einrichten eines neuen vertrauenswürdigen Computers sind mit Apples doppelter Bestätigung zusätzlich geschützt. 

Seit Juli ist die zweistufige Bestätigung auch hierzulande verfügbar. Sie sollte unbedingt aktiviert werden.
Seit Juli ist die zweistufige Bestätigung auch hierzulande verfügbar. Sie sollte unbedingt aktiviert werden.

Wer sich vor einem iCloud-Angriff schützen will, muss übrigens nur das Cloud-Backup und den Fotostream seines iPhone deaktivieren (über «Einstellungen», «iCloud», «Speicher & Backup» bzw. «Fotos»). Dann allerdings ist anzuraten, regelmässig auf dem eigenen Rechner lokale Backups zu speichern, damit die Daten nicht verloren sind, wenn das Handy verloren- oder kaputtgeht. 

Mehr zum Thema

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
6 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
6
Mit diesem Stromer läutet Audi seine grosse E-Auto-Offensive ein
Audi ist wieder da: Ein neuer Elektro-SUV soll eine grosse Offensive mit weiteren E-Modellen einläuten. Der Q6 E-tron bekommt schnelles Laden, starke Motoren und eine einzigartige Lichttechnik.

Mit mehr als einem Jahr Verspätung bringt Audi einen neuen Elektro-SUV auf den Markt. Der 4,77 Meter lange Q6 E-tron wurde gemeinsam mit Porsche entwickelt und basiert auf der neuen Elektroauto-Plattform «Premium Platform Electric» (PPE).

Zur Story