iPhones wieder gehackt

  • 2 Minuten zum Lesen
http://2.bp.blogspot.com/-kERjkb7r0kg/U4Ru_mR8g9I/AAAAAAAAb1A/BZD40CKJgU4/s7280/Apple-Mac-iphone-ransomware-malware.jpg
http://2.bp.blogspot.com/-kERjkb7r0kg/U4Ru_mR8g9I/AAAAAAAAb1A/BZD40CKJgU4/s7280/Apple-Mac-iphone-ransomware-malware.jpg

Die meisten BlackBerry Nutzer sind BlackBerry Nutzer wegen einem besonderen Merkmal: Sicherheit. Blackberry 10 und Legacy BBOS sind fast undurchdringlich und zwei der sichersten Smartphone-Betriebssysteme.

iPhone und iPad Nutzer in Australien und Neuseeland haben diese Sicherheit nicht. Sie bekamen eine bizarre Nachricht auf ihre Geräte.

Viele der Nutzer erwachten wegen einem Alarm und der Meldung “Device von Oleg Pliss gehackt” auf dem Bildschirm.  Zum Entsperren sollten sie zwischen $ 50 und $ 100 an das PayPal-Konto lock404(at)hotmail.com überweisen. PayPal sagte aber, dass dieses Konto nicht hinterlegt sei.

Wie hat der Hacker diese Geräte kompromittiert? Der Exploit nutzt die “Mein iPhone suchen”-Funktion, mit der Benutzer per Fernzugriff ihre iPhones und iPads bei Diebstahl oder Verlust via iCloud sperren können.
Die Daten der Nutzerkonten könnte aus einem Hack der iCloud stammen.

Öffentlich hat sich Apple zu dieser Schwachstelle noch nicht geäußert. Es sind wohl nur Nutzerkonten betroffen, welche die 2-Wege-Authentifizierung  nicht aktiviert hatten.

Einige Benutzer berichteten, dass sie den Hack umgehen könnten. Da sie zuvor ein Passwort für den Dienst benutzt haben, konnten sie dieses über iTunes wiederherstellen und so die Sperre wieder aufheben.

Für Nutzer ohne Passwort war es schwieriger. Man kann 6 Mal versuchen das Passwort, welches durch den Hack gesetzt wurde, eingeben. Ist dies erfolglos bleibt nur noch die Wiederherstellung über iTunes. Persönliche Daten und Apps werden dabei gelöscht.

Apple hat mit dem Thema Sicherheit in letzter Zeit schwer zu kämpfen. Kürzlich wurde bekannt, dass E-Mail-Anhänge in iOS7+ nicht verschlüsselt sind, obwohl dieses Feature von Apple immer wieder angepriesen wird.

Diskussionsthread dazu im Forum.

Quelle N4BB und thehackernews