Über Brute-Force-Angriffe hätten Angreifer im Apple Store auf Kundenkosten shoppen gehen können. Die Lücke wurde bereits geschlossen.
Mehr als 77 Millionen Kunden zählt T-Mobile in den USA. Und all diese Kunden waren über einen Fehler in der Schnittstelle zwischen Apple und T-Mobile gefährdet. Man hätte über einen T-Mobile-Vertrag ein Apple-Produkt kaufen können.
In den USA kann man im Apple Store direkt über seinen Mobilfunkvertrag Produkte kaufen. Dafür braucht es lediglich die Nummer und die dazugehörige PIN. Normalerweise ist die Eingabe beschränkt; meist auf drei Versuche. Beim Anbieter T-Mobile hingegen nicht. Ein Angreifer braucht also Geduld und das notwendige Werkzeug und hätte sich damit Zugriff auf das T-Mobile-Konto verschaffen können, um so auch SMS umzuleiten und die Bestellungen vor dem eigentlichen Vertragsinhaber verschleiern können.
Dieser sogenannte Brute-Force-Angriffe war auch beim Versicherer Asurion möglich. Wobei der Angreifer hier im Besitz des Wireless-Security-Anmeldecodes sowie des PIN-Codes sein müsste. Wobei letzteres auch wieder wiederholt und ohne Beschränkung eingeben werden kann.
Laut Apple und Asurion ist die Lücke bereits geschlossen. Beide Unternehmen gaben nicht an, wie dieser Fehler übersehen werden konnte, oder von wem er verursacht wurde. Unklar ist auch, ob Kunden geschädigt wurden.
(bagre)