Ein heftiger Wolkenbruch
Geschrieben von MMind am Sonntag, 12. August 2012 in Allgemein
Eine bedenkliche Entwicklung der letzten Zeit ist die Verknüpfung von allen möglichen Rechengeräten mit diversen Webdiensten verschiedener Anbieter — auch Cloud-Computing genannt. Was passieren kann, wenn man sich aber zu sehr an solche proprietären Ökosysteme bindet, war Anfang der Woche zu lesen. Der Wired Redakteur Mat Honan war Opfer eines großflächigen Angriffs und verlor dabei so wie es aussieht sehr viele persönlichen Daten.
Das Ziel der Angreifer war dabei einfach nur eine Verunstaltung des Twitter-Accounts. Auf dem Weg dahin haben die Angreifer aber eine Spur der Verwüstung hinterlassen. Im sehr lesenswerten Artikel von Mat Honan ist der gesamte Ablauf des Hacks minutiös nachgezeichnet. Deswegen möchte ich nur nochmal die heftigste Sicherheitslücke erwähnen.
Laut dem Artikel reichen zum Zugriff auf einen Apple-Account, und damit auch zur Remote-Wipe-Funktion, bereits der Account-Name — d.h. die E-Mail Adresse, die letzten vier Stellen der Kredit-Karte und die Rechnungsadresse. Adressen stehen meist im Impressumsbereich von Webseiten oder anderen komischen Social-Irgendwas Aggregatoren und das finden der Kreditkartendaten scheint auch nicht viel schwerer gewesen zu sein.
Der Weg zu diesen hat dabei über Amazon geführt. Dabei wurde in einem ersten Schritt dem Account telefonisch eine neue Kreditkarte hinzugefügt — dazu scheint nur der Account-Name und die Adresse notwendig zu sein. In einem zweiten Schritt wurde wieder telefonisch dem Account eine neue E-Mail-Adresse hinzugefügt. Dies scheint möglich wenn man angibt den Zugriff verloren zu haben und benötigt wieder nur Account-Name, Adresse und die eben neu hinzugefügte E-Mail Adresse. Nun kann man an diese neue Adresse ein neues Passwort zusenden lassen, sich damit anmelden und nun auch die vier Stellen der bisherigen Kreditkarte sehen. Damit ist der Zugang zum großen roten Löschen-Knopf komplett frei.
Aber wie Mat schreibt, ist nicht nur Amazon ein mögliches Einfallstor, sondern im Prinzip alle die Kreditkartendaten verarbeiten:
And it’s also worth noting that one wouldn’t have to call Amazon to pull this off. Your pizza guy could do the same thing, for example. If you have an AppleID, every time you call Pizza Hut, you’ve giving the 16-year-old on the other end of the line all he needs to take over your entire digital life.
Schon allein Vorstellung dass ein Konzern die Mittel besitzt, aus der Ferne persönlichen Daten zu lesen und zu löschen, ist gruselig — scheint aber in Walled Gardens üblich zu sein. Der erste große Fall dieser Art war ja Amazon, die ein Buch von den Kindle-Readern entfernt haben — bezeichnenderweise war dies auch eine Ausgabe von George Orwells 1984. Dass es aber Menschen gibt, die freiwillig auch ihre noch freien Geräte in diese Umklammerung geben entzieht sich meinem Vorstellungsvermögen.
Dass diese Funktion zum Löschen aus der Ferne dann aber nicht nur für den Anbieter sondern auch noch für beliebige Angreifer sehr einfach zugänglich ist, ist aber richtig erschütternd.
Seite 1 von 1, insgesamt 1 Einträge