iPhone verloren? Hacker können Passwörter in sechs Minuten entschlüsseln

Wer sein iPhone verliert, dessen Passwörter sind nicht sicher. Das zeigt ein Video des Fraunhofer-Instituts SIT in Darmstadt. Mitarbeitern des Instituts gelang es, die Geräteverschlüsselung des iPhone auszuhebeln und – trotz Gerätecode – viele der auf dem Gerät gespeicherten Passwörter in sechs Minuten zu entschlüsseln.

Die Schwachstelle im Sicherheitsdesign auf iPhone und iPad betrifft alle Geräte mit der Firmware iOS 4.2.1. Der Angriff ist bei jedem Gerät mit dem iOS-Betriebssystem möglich, unabhängig vom verwendeten Kennwort des Benutzers. „Selbst Geräte, die mit hohen Sicherheitseinstellungen betrieben werden, ließen sich in kürzester Zeit knacken”, sagt Jens Heider, technischer Leiter im Testlabor IT-Sicherheit am Fraunhofer SIT. Ein Video zeigt das Vorgehen der Tester:

Sobald ein Unbefugter im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten, zum Beispiel sozialen Netzwerken, muss der Angreifer einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer.

Um an die Passwörter zu gelangen, die auf dem Gerät in der Keychain gespeichert sind, mussten die Tester die eigentliche 256-Bit-Verschlüsselung gar nicht brechen. Vielmehr machten sie sich eine Schwäche im Sicherheitsdesign zunutze: Das grundlegende Geheimnis, auf dem die Verschlüsselung der angegriffenen Passwörter bei iPhone und iPad basiert, wird im aktuellen Betriebssystem auf dem Gerät gespeichert. Dadurch ist die Verschlüsselung unabhängig vom persönlichen Kennwort, das den Zugang zum Gerät eigentlich schützen soll.

Wer sein iPhone verloren hat, muss also schnell reagieren. Wie Sie die Daten schnell fernlöschen können, erklärt folgendes Apple-Dokument. Voraussetzung ist allerdings ein auf dem Gerät eingerichteter MobileMe-Account.

Unternehmen, die sich vor den Folgen solcher Angriffe schützen möchten, empfiehlt Fraunhofer, ihre Mitarbeiter entsprechend zu sensibilisieren und entsprechende Notfall-Abläufe einzuführen. Wenn ein Mitarbeiter sein iPhone verliert, sollte nicht nur er alle seine Passwörter ändern, auch die Firma sollte die betreffenden Netzkennungen so schnell wie möglich erneuern.

Keine justapps.de-Nachricht mehr verpassen. – Folgen Sie uns auf Facebook, Twitter oder abonnieren Sie unseren RSS-Feed!