Dipl.-Inform. Carsten Eilers

Die Funktion "Find My iPhone, iPad, and Mac" der iCloud dient dazu, geklaute Hardware aus der Ferne zu sperren oder zu löschen und sie über GPS oder WLAN-Ortung zu lokalisieren. Cyberkriminelle nutzen diese Funktion, um die Geräte zu sperren, während sie bei ihren Benutzern sind. Für die Freigabe der Geräte verlangen sie dann ein Lösegeld von 50 oder 100 US-Dollar oder Euro. Wie die Angreifer Zugriff auf die iCloud-Konten der Opfer bekamen ist bisher unklar, dazu unten gleich mehr.

Betroffene Geräte melden sich mit der Meldung

"Device hacked by Oleg Pliss. For unlock device YOU NEED send voucher code by [50 oder 100] $/€ one of this (Moneypack/Ukash/PaySafeCard) to [E-Mail-Adresse] for unlock"
(Texte in eckigen Klammern von mir)

Angriffe bisher in Australien, Neuseeland und Süd-Kalifornien

Laut einem Bericht des "Sydney Morning Herald", in dem auf eine Diskussion in Apples Support-Foren verwiesen wird, wurden die Angriffe zuerst in Australien gemeldet. Auch Benutzer in Neuseeland sind betroffen, aber das liegt ja quasi direkt neben Australien. Inzwischen gibt es auch Berichte über Angriffe auf Benutzer in den USA, konkret im südlichen Kalifornien. Was das Ganze noch mysteriöser macht.

Woher stammen die iCloud-Zugangsdaten?

Die Funktion "Find My iPhone, iPad, and Mac" kann nur über die iCloud aktiviert werden, die Angreifer müssen also Zugriff auf die iCloud-Konten ihrer Opfer haben. Apple hat gegenüber ZDNet betont, dass die iCloud nicht kompromittiert wurde. Damit bleiben immer noch einige mögliche Angriffswege übrig:

• Die Opfer verwendeten leicht erratbare oder über einen Wörterbuchangriff ermittelbare Passwörter. Aber wieso gibt es dann nur Angriffe auf Benutzer in Australien/Neuseeland und Kalifornien?
• Die Zugangsdaten können über Phishing ausgespäht worden sein. Entsprechende Versuche gab es in letzter Zeit mehrmals. So ein Angriff kann durchaus auch regional begrenz sein.
• Zumindest anfangs, als es nur Angriffe auf Benutzer in Australien/Neuseeland gab, wäre eine bösartige App als Ursache in Frage gekommen, die nur in Australien und Neuseeland verkauft wurde. Diese Möglichkeit scheidet inzwischen aus, da zumindest einige der Opfer aus Kalifornien nie in Australien/Neuseeland waren.
• Das gleiche gilt sinngemäß für im Rahmen eines Angriffs anderswo ausgespähte Zugangsdaten, die von manchen Benutzern auch für ihren iCloud-Account verwendet wurden: Anfangs wäre ein Datenleck bei einem australischen oder neuseeländischen Unternehmen oder einen aus welchen anderen Gründen auch immer auf Australien/Neuseeland beschränkten Umfang möglich gewesen. Aber woher stammen dann die Daten der Kalifornier?
• Und auch die nächste Möglichkeit scheidet durch die Angriffe auf Australier/Neuseeländer und Kalifornier aus: Die Daten wurden im Rahmen eines Man-in-the-Middle-Angriffs ausgespäht. Aber welcher Man-in-the-Middle erwischt sowohl Benutzer aus Australien/Neuseeland als auch aus Kalifornien?

Schutzmöglichkeiten...

... für ihre Apple-ID und ihren iCloud-Account

Erst mal ist es schwierig, sich vor einem Angriff zu schützen, von dem man nicht weiß, wie er abläuft. Dass Sie ein sicheres Passwort für ihren iCloud-Account (und jeden anderen auch) verwenden müssen, dürfte selbstverständlich sein. Ebenso, dass Sie dieses Passwort nirgends sonst verwenden dürfen.

Leider gibt es immer noch zu viele Benutzer, die es sich einfach machen und das gleich Passwort für alle ihre Konten verwenden. Was im Falle eines erfolgreichen Angriffs auf einen Anbieter auch die Konten bei allen anderen gefährdet. Vor allem, weil ja meist überall der gleiche Benutzername gewählt wird oder sogar in Form der E-Mail-Adresse bereits vorgegeben ist. Also: Finger weg vom Recycling, sofern es um Passwörter geht! So nützlich Recycling im Allgemeinen ist, so gefährlich ist es im Fall der IT-Sicherheit.

Wenn möglich, sollten Sie auch die Zwei-Faktor-Authentifizierung nutzen, die Apple inzwischen anbietet.

... für iOS-Benutzer

iPhone- und iPad-Benutzer sollten den Passcode ihres Geräts aktivieren (oder die Touch ID des iPhone 5s nutzen). Ein vorhandener Passcode kann über die "Find My iPhone, iPad, and Mac"-Funktion nicht geändert werden, so dass die Opfer des Angriffs sich darüber wieder Zugriff auf ihr Gerät verschaffen können. Sofern der Angreifer das nicht gelöscht hat - dann hilft nur ein möglichst aktuelles Backup.
Wurde der (zuvor nicht vorhandene) Passcode vom Angreifer gesetzt, ist eine Wiederherstellung aus einem Backup der einzige Ausweg.

... für Macs

Mac-Nutzer haben es schwerer, denn einen Schutz gibt es nicht. Und im Falle eines Angriffs hilft nur der Ausbau der Festplatte des betroffenen Geräts, um die Daten auf einem anderen Gerät zu sichern. Was wieder einmal zeigt, wie wichtig ein möglichst aktuelles Backup ist!

Das gab es doch schon mal?

Wenn Sie denken, dass alles kommt Ihnen bekannt vor: Im August 2012 wurde Mat Honan Opfer eines Angriffs auf seinen iCloud-Account, bei dem seine Geräte komplett gelöscht wurden. Ursache damals war ein Socal-Engineering-Angriff auf Amazon und Apple.

Carsten Eilers