iCloud Passwörter: Apple schließt iDict Sicherheitslücke

Das Anfang Januar veröffentlichte iDict-Werkzeug, mit dessen Hilfe sich Brute-Force-Angriffe auf Apples iCloud-Webseite initiieren ließen, wurde entschärft.

Dies geht aus mehreren Rückmeldungen unabhängiger Entwickler hervor. So ist es jetzt nicht mehr möglich die Angriffe auf ausgesuchte iCloud-Konten beliebig lange laufen zu lassen und sich dabei durch eine Passwort-Liste zu probieren, bis das richtige Kennwort gefunden ist. Apple sperrt vom iDict-Angriff betroffene Konten jetzt vorübergehend nach dem fünften fehlgeschlagenen Login-Versucht.

Der iDict-Sicherheitslücke war am 27. September bereits eine ähnliche Schwachstelle vorausgegangen. Damals nutzte das Brute-Force-Werkzeug iBrute einen ungesicherten Bereich im iCloud-Portal „Find my iPhone“ zum Durchprobieren unzähliger Passwörter. Im vergangenen Jahr stellte sich zudem heraus, dass die Veröffentlichung zahlreicher Promi-Nacktbilder aus kompromittierten iCloud-Accounts in Zusammenhang mit dem Brute-Force-Werkzeug zu stehen schien.

iDict wurde am 2. Januar auf dem Sourcecode-Portal Github veröffentlicht. Der Quellcode lässt sich dort nach wie vor einsehen.