Wichtig ist schnelles Handeln
Radocea zeigte den möglichen Angriff bei der diesjährigen Black-Hat-Sicherheitskonferenz. Sein Anliegen war es dabei aufzuklären, wie wichtig ein schnelles Auffinden solcher Bugs ist. Im Hinblick auf die Machenschaften der staatlichen Behörden (vorrangig in den USA) bedeuten solche Schwachstellen potentiell einen Jackpot für die Überwachung.Update nur für Geräte ab iPhone 5
Die Sicherheitslücke wurde nach der Meldung durch Radocea im März geschlossen. Apple hatte damals sowohl für iOS mit 10.3 als auch für macOS die Verifizierung der Geräte für die iCloud-Schlüsselbund-Anmeldung überarbeitet, so dass manipulierte Geräte-Profile wieder erkannt wurden. Laut der Nachrichtenseite Heise fehlt ein Update dagegen für ältere Geräte wie dem iPhone 4s.Wie lang die Schwachstelle bestand und ob sie auch aktiv ausgenutzt wurde, ist dabei nicht bekannt.
Um Zugriff über ein manipuliertes Geräte-Profil zu erlangen, hätten die Angreifer allerdings auch den Zugang zur iCloud des Opfers über Anmeldenamen und Passwort verfügen müssen.
Siehe auch: Gelöschte Notizen: Apple löscht sie gar nicht wirklich aus der iCloud