Ein Versehen im März: Hacker löscht alle iCloud-Kurzbefehle weltweit

Der Entwickler Frans Rosén hat einen spannenden Blogeintrag über seine Versuche veröffentlicht, im zurückliegenden Frühjahr gutes Geld mit Apples Security Bounty Programm zu verdienen.

Hier vergütet Apple Entwickler, die Schwachstellen in Diensten und Anwendungen des Unternehmens melden, bevor diese auf dem Schwarzmarkt zum Verkauf angeboten werden. Wie viele andere Unternehmen belohnt Apple auf diese Weise ehrliche Hacker, die auf Lücken im System hinweisen und verhindert so im besten Fall, dass diese lange Zeit unentdeckt bleiben und durch Akteure mit zwielichtigen Motiven ausgenutzt werden.

I found some permission issues when hacking Apple CloudKit. I wrote about three of them @detectify labs, one where I accidentally deleted all shared Apple Shortcuts.https://t.co/bwNOLJIeIo pic.twitter.com/0YnX7T8KrW

— Frans Rosén (@fransrosen) September 13, 2021

Alle öffentlichen Links beim Testen gelöscht

Ein bewährtes Konzept, das allerdings auch in die Hose gehen kann, wie der Erfahrungsbericht von Frans Rosén eindrucksvoll demonstriert. So berichtet der Hacker in einer langen, detailliert technischen Abhandlung über seine Versuche Lücken in Apples Cloud-Speicher-Infrastruktur CloudKit ausfindig zu machen.

Unter anderem hat sich Rosén dabei auch mit den öffentlichen Links beschäftigt, die Apple immer dann generiert, wenn selbst erstellte Kurzbefehle über iCloud mit interessierten Freunden und anderen Nutzern im Web geteilt werden sollen.

Ende März kam es im Zuge der Untersuchungen von Rosén dann zu einem Versehen, dass sich auf alle iPhone-Nutzer weltweit auswirken sollte. Während der Entwickler dabei war Endpunkte der Apple-Schnittstellen zu prüfen, um seine Berechtigungen hier nach und nach zu eskalieren, löschte dieser aus Versehen die gesamte Datenbank aller bis dahin generierten Kurzbefehl-Links.

Plötzlich liefen Verlinkungen von Kurzbefehl-Webseiten genau so wie unter Freunden geteilte Verweise auf private iCloud-Kurzbefehle ins Leere.

Apple zahlte $28.000 Prämie

Rosén kontaktierte Apple daraufhin umgehend, entschuldigte sich für seinen destruktiven Eingriff und beschrieb die Schritte, die zum plötzlichen Verschwinden der Kurzbefehl-Links führten.

Is Shortcuts having a problem? pic.twitter.com/CQ9NGQeQvc

— Mike Beasley (@MikeBeas) March 23, 2021

Rückblickend benötigte Apple dann einen knappen Monat, um die gelöschten Kurzbefehle-Links wiederherzustellen und diese mit all jenen Links zu kombinieren, die in den Tagen nach Roséns Eingriff neu erstellt wurden.

Rosén wurden für den Hinweis auf die Schwachstelle 28.000 US-Dollar ausgezahlt. Gleichzeitig übermittelte Apple dem Hacker die Bitte, in zukünftigen Systemanalysen doch bitte auf Handlung zu verzichten, die das Live-System in Mitleidenschaft ziehen könnte.