Schwachstellen in Apples iCloud-Konzept: Sicherheitsrisiken für persönliche Daten

1

Apple ersetzt seinen bisherigen Onlinedienst MobileMe durch “iCloud“.

Gleichzeitig wird der bisherige Funktionsumfang um zahlreiche neue Dienste deutlich erweitert, die dem Nutzer das Leben mit mehreren Apple-Produkten (iPad, iPhone, iPod touch und Macs) insbesondere durch die Synchronisierung der persönlichen Daten wie Musik, Fotos, Dokumenten vereinfachen.

Wir haben uns die einzelnen Dienste noch einmal genau angeschaut und geprüft, welche Sicherheitsrisiken in Apples iCloud-Konzept für den Nutzer enstehen.

Apple bewirbt den iCloud-Service als Heilsbringer für alle iOS- und Mac-Nutzer; können doch über die iCloud nicht nur alle Apple-Produkte mit dem selben Datenbestand an Musik, Fotos, Kalendereinträgen und Dokumenten synchron gehalten werden, sondern auch Backups der jeweiligen Geräte online abgelegt werden.

In der täglichen Nutzung erspart die iCloud dem Nutzer natürlich eine Menge händischer Arbeit wenn alles wie angepriesen funktioniert (“It just works!”). Keine Frage.

Problematisch ist jedoch die Tatsache, dass alle iCloud-Funktionen letztlich nur auf einer recht simplem Authentifizierung beruhen:

  • der Apple-ID (der eigenen Email-Adresse) und
  • einem frei wählbaren Passwort.

Klar, auf seine Apple ID und sein Passwort sollte man “aufpassen” – hat man ja auch vorher schon gemacht, wenn damit im iTunes Store eingekauft wurde…

Da nun aber auch die iCloud aber über die Apple-ID und das Passwort läuft, hängt nicht “nur” das Guthaben oder die Kreditkarte und die persönlichen Adressdaten im iTunes-Store daran, sondern das ganze digitale Leben oder wie Steve Jobs zu sagen pflegt “your digital life” oder genauer gesagt eben alles was so in der Wolke gespeichert ist…

Nutzt man die komplette Palette der Apple iCloud Dienste, dann sind das:

  • iTunes in the Cloud, Apps, Ebooks
    Alle Lieder, Apps und Ebooks, die jemals über die Apple ID erworben wurden…
  • Photo Stream
    Alle Fotos, die in den letzten 30 Tagen auf einem der mit der Apple ID verbundenen Geräte erstellt oder hinterlegt wurden…
  • Documents
    Alle Dokumente, die aus iPad/iPhone/iPod touch Apps oder vom Mac aus in der iCloud abgelegt wurden…
  • Backup
    Alle Kontakte, Kalendereinträge, Einstellungen, SMS-Nachrichten, Emails, die an das kostenlose “@me.com”-Konto geschickt wurden sowie Komplettbackups aller iOS-Geräte…

Besonders problematisch ist, dass mit der Einführung von iCloud und iOS5 keine Autorisierung neuer Geräte via Desktop-Rechner mehr notwendig ist und sich ein “echter Clone eines iOS-Gerätes” ebenfalls bereits durch die Eingabe der Apple ID und des zugehörigen Passworts sehr komfortabel und zügig erstellen lässt – ist ja auch ein beworbenes Feature…

Zugriff auf alle Daten in der Wolke hat folglich jeder, der die entsprechende Apple ID und das zugehörige Passwort kennt. Und wer schonmal die Email-Adresse kennt (Apple ID), der braucht nur noch das Passwort…

Dies erscheint uns unsicher, insbesondere, wenn man sich überlegt, wie trivial die Passwörter häufig gewählt sind und wie einfach Hacker mit Trojanern, Passwortlisten oder Brute Force-Attacken schon ganz andere Dinge geknackt haben.

Trotz allen Komforts durch iCloud lohnt es sich also bestimmt noch einmal darüber nachzudenken, wer die iCloud wirklich braucht und welche Daten dort gespeichert werden sollen und welche Daten besser nicht. Gleichzeitig wird sich Apple fragen lassen müssen, wie sich ein wirklich guter Schutz für persönliche Daten in der iCloud implementieren lässt, der über eine simple Benutzernamen-Passwort-Authentifizierung hinausgeht.

Wer die o.g. Sicherheitsrisiken für zu abstrakt und unrealistisch hält, der tut wohl zumindest nochmal gut daran, sich vor der Nutzung der iCloud-Dienste um ein möglichst starkes Passwort für die Apple ID Gedanken zu machen…