iDict: iCloud Apple ID Brute-Forcer von Pr0x13
Alexander Trust, den 2. Januar 2015
Entwickler Pr0x13 behauptet ein Brute-Force-Tool namens iDict veröffentlicht zu haben, das einen iCloud-Account per Passwort-Abfrage sprengt.
Entweder lokal oder auf einem Cloud-Server (Amazon EC2 etc.) muss man iDict installieren und dann auf einen bestimmten iCloud-Account anwenden. Das Tool nutzt laut Entwickler Pr0x13 einen Bug in Apples System aus.
Neben den PHP-Dateien des iDict-Projekts, das auf Github hochgeladen wurde, müssen Anwender noch die curl-Bibliothek auf dem Webserver installieren, damit das Brute-Forcing funktioniert. Dann gibt man einen Nutzernamen an, den man eventuell über Social Engineering herausbekommen hat. Per Curl wird dann ein Wörterbuch mit vorgegebenen Passwörtern an diesem Account abgearbeitet. Das vorhandene Wörterbuch umfasst lediglich 500 Einträge. Man kann es jedoch einfach erweitern.
Der Bug, den Pr0x13 nutzt, erlaubt offenbar die 2-Schritt-Authentifizierung auszuhebeln, oder zumindest zu umgehen für das Prozedere; der Hacker hat den Bug bereits Apple gemeldet, weshalb das Unternehmen ihn irgendwann schließen wird.