Apple ergreift Maßnahmen gegen Yontoo und Passcode-Lücke

SicherheitSicherheitsmanagement

Apple hat eine kritische Sicherheitslücke beseitigt, die Angreifern erlaubte, Passwörter für Apple-ID-Konten unkompliziert zurückzusetzen. Außerdem identifiziert Apples Malware-Scanner XProtect den Adware-Trojaner Yontoo nun als “OSX.AdPlugin.i” und warnt Anwender vor dessen Installation.

Apple hat eine kritische Sicherheitslücke beseitigt, die Angreifern die einfache Rücksetzung von Passwörtern für Apple-ID-Konten erlaubte. Sie mussten dafür lediglich die E-Mail-Adresse und das Geburtsdatum des Nutzers kennen. Durch eine spezielle URL ließ sich die eigentlich ebenfalls erforderliche Sicherheitsfrage umgehen.

Vor dem Exploit schütze die optionale Zwei-Faktor-Authentifizierung, die Apple in Deutschland aber noch nicht anbietet (Bild: Jason Cipriani / CNET.com)
Vor dem Passcode-Exploit schütze die optionale Zwei-Faktor-Authentifizierung, die Apple in Deutschland aber noch nicht anbietet (Bild: Jason Cipriani / CNET.com)

Nach ersten Berichte über das Problem am 22. März veröffentlicht versetzte Apple die Passwort-Rücksetzung in den Wartungsmodus, um weitere Rücksetzungen und die mögliche Übernahme von Konten zu verhindern. Von dem Exploit waren Nutzer offenbar nicht betroffen, die bereits für die von Apple gerade eingeführte Zwei-Faktor-Authentifizierung nutzen. Sie erfordert für die Verwaltung der Apple ID – und insbesondere das Zurücksetzen des Passworts – außer dem Passwort einen vierstelligen Bestätigungscode, der als Textnachricht an ein Mobiltelefon geschickt wird.

Die Eingabe von Passwort und Bestätigungscode ist auch erforderlich, wenn Käufe über iTunes, Apples App Store oder iBookstore von einem neuen Gerät aus getätigt werden. Diese Zwei-Faktor-Authentifizierung ist jedoch in den meisten Ländern, darunter auch in Deutschland, noch gar nicht verfügbar.

Außerdem identifiziert Apples Malware-Scanner XProtect nun den Adware-Trojaner Yontoo als “OSX.AdPlugin.i” und warnt Anwender vor der Installation. Yontoo ist eine Erweiterung für die Browser Safari, Chrome und Firefox. Das Plug-in übermittelt Informationen über besuchte Webseiten an einen entfernten Server und baut eigene Werbung in diese Seiten ein. Die gewaltsam platzierte Werbung könnte noch als lästig durchgehen, allerdings ist auch die Injektion bösartigen Codes in Webseiten nicht auszuschließen.

Die Adware installiert sich durch verschiedene Tricks. Anwender werden beispielsweise auf einer Seite für Spielfilmtrailer aufgefordert, einen HD-Videoplyer zu installieren – und bekommen stattdessen die Erweiterung für den eingesetzten Browser. Intego, dessen Antivirensoftware VirusBarrier Yontoo schon seit Ende vergangenen Jahres als Malware erkennt, bemängelt an Apples Schutzlösung XProtect, dass sie Yontoo nicht immer zuverlässig erkenne. Sie erfolge möglicherweise standortabhängig und nur bei wiederholten Installationsversuchen.

Apples aktualisierte Definitionen für XProtect ändern außerdem die Mindestvorgaben für die zulässige Java-Version. Wer eine ältere und unsichere Version einsetzt, erhält einen Hinweis auf ein “blockiertes Plug-in” und wird zur Installation der aktuellen Version aufgefordert.

[mit Material von Topher Kessler, News.com und Josh Lowensohn, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.