Ungeschützte Apple-Kontaktdatenbank offenbar im Netz

Bereits im vergangenen Jahr blieb Apples Entwicklerbereich über einen längeren Zeitraum offline, weil es eine schwerwiegende Sicherheitslücke gegeben hatte. Nun wurde ein weiterer problematischer Fehler entdeckt.

Wie 9to5Mac unter Berufung auf einen Entwickler berichtet, der die Lücke entdeckt hat, war es möglich, persönliche Kontaktdaten abzugreifen. Angeblich waren davon potenziell alle Entwickler mit Registrierungen in den Developer-Bereichen iOS, Mac und Safari betroffen, zudem jeder Apple-Retail-Angestellte und sogar Mitarbeiter der Apple-Firmenzentrale und einiger Partner. Apple hat die Lücke in der vorvergangenen Nacht geschlossen. Ob tatsächlich Daten abhanden kamen, ist bislang unklar.

Wie ein Demonstrationsvideo unter https://www.youtube.com/watch?v=2e0Z5tQfhKM zeigt, war der Zugriff über Apples Bugtracker Radar möglich – genauer die dafür verfügbare interne App. Diese war bei Kenntnis einer entsprechenden URL anscheinend offen aus dem Web herunterladbar. Die Anwendung verlangt nach dem Start zwar die Eingabe von offiziellen Apple-Zugangsdaten mit entsprechenden Berechtigungen, doch funktioniert die App auch nach Eingabe eines unzulässigen Accounts teilweise weiter. Dazu gehörte auch die „People Lookup“-Funktion.

Diese wiederum zeigte bei Eingabe von Namen, Telefonnummern oder E-Mail-Adressen passende Kontaktdaten samt Abteilungen an – darunter eben auch Apple-interne. Die Radar-App wurde inzwischen aus dem Web genommen, zudem soll Apple die Lücke gepatcht haben, die den Trick ermöglichte. Öffentlich geäußert hat sich der Hersteller bislang nicht. Kreditkartendaten waren laut dem Video nicht betroffen, es handelte sich wohl rein um Kontaktinformationen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.