Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Es scheint, als hätte Apple den Zeitpunkt zur Einführung der Zwei-Schritt-Überprüfung für Apple-IDs nicht besser wählen können. Kurz nachdem die Möglichkeit zur Aktivierung dieser Option in den USA, Großbritannien, Australien, Irland und Neuseeland online gegangen ist, wurde eine schwere Sicherheitslücke auf der iForgot-Webseite bekannt, die es einem Angreifer relativ einfach ermöglicht, das Passwort einer beliebigen Apple-ID lediglich unter der Angabe der E-Mail Adresse und des Geburtstdatums zurück zu setzen. Die Abfrage der drei Sicherheitsfragen wird dabei durch die Verwendung einer spziell angepassten URL umgangen. User, die bereits auf die Zwei-Schritt-Überprüfung umgestellt hatten, waren hierdurch nicht betroffen. Der Großteil der internationalen Anwender blieb durch das Nichtvorhandensein der Option aber natürlich ebenso angreifbar, wie einige User in den genannten Ländern, die in eine dreitägige Warteschleife zur Aktivierung gestellt wurden.

Kurz nachdem das Problem bekannt wurde, nahm Apple die iForgot-Seite vom Netz, behob das Problem und stellte sie inzwischen wieder online. Allerdings zeigt dieses äußerst kritische Problem, wie wichtig die Umstellung auf die Zwei-Schritt-Überprüfung ist. Bleibt zu hoffen, dass Apple diese Option kurzfrisitg auch international ausrollt. Aktuell ist nicht bekannt, ob durch die Lücke, die nicht detailliert beschrieben, sondern direkt an Apple gemeldet wurde, irgendein Schaden entstanden ist.