Erst im September 2014 wurde bei Apple eine Sicherheitslücke im iCloud-Login entdeckt, der es Angreifern ermöglichte unendlich Passwörter durchzuprobieren. Nachdem Apple damals die Lücke beseitigte, tauchten kurze Zeit später unter dem Namen „The Fappening“ zahlreiche Nacktbilder von Prominenten auf, die durch die Brute-Force Attacke gestohlen wurden. Damals wurde zum Angriff das Tool „iBrute“ verwendet.

Am heutigen Tag tauchte nun ein neues Brute-Force Werkzeug namens „iDict“ auf. Das Programm wurde in PHP geschrieben und lässt sich entweder Lokal oder über einen Webserver ausführen. Mittels einer Wörterbuchliste probiert das Programm alle möglichen Kombinationen aus, um Zugriff auf die iCloud-Accounts zu bekommen.

Besorgniserregend ist dabei, dass bereits eine einfache „Header“-Änderung reicht damit unbegrenzte Loginversuche möglich werden. Apple hat sich bislang noch nicht zu dem Thema geäußert, es bleibt zu hoffen, dass die Lücke zeitnah abgesichert wird.

Sobald der Fake „iPhone“-Header übergeben wurde, können offenbar unbegrenzte Loginversuche erfolgen.

Update: Die Lücke wurde noch am 02.01.15 durch Apple behoben, wer nun das Tool auf einen iCloud-Account anwendet wird nach wenigen Versuchen gesperrt und der entsprechende iCloud-Account in den Sicherheitsmodus versetzt.