Von wegen safe! iOS 8 angeblich doch nicht sicher vor Behördenzugriff

(Bild: Shutterstock)

Google möchte es mit der nächsten Android-Version zum Standard machen und Apple posaunte es im Einklang mit iOS 8, seinem neuen Mobilbetriebssystem, jüngst in die Welt. Sicherheitsbehörden könnten ob der ausgeklügelten Verschlüsselung unmöglich auf die persönlichen Daten der Nutzer zugreifen. Bereits wenige Tage später wird genau dieser Status von einem Sicherheitsforscher zurückgewiesen.

Wie Wired unter Berufung auf den Sicherheitsforscher Jonathan Zdziarski berichtet , sind Daten wie Fotos, Videos, Sprachaufnahmen sowie Podcasts, Bücher und andere iTunes-Medien von den spezifischen Verbesserungen unter iOS 8 ausgenommen, um einen Austausch per iTunes zu ermöglichen. Mithilfe frei erhältlicher Forensik-Tools lassen sich Zdziarski zufolge auch alle Daten von Drittanbieter-Apps auslesen.

Apple habe Daten bis einschließlich iOS 7 mit hardwarebasierten Schlüsseln versehen. Seit iOS 8 würden die Schlüssel vom PIN-Code oder dem verwendeten Passwort abgeleitet, schreibt Zdziarski in seinem Blog. “Das verbessert zweifelsohne für jeden die Sicherheit. Ich bin beeindruckt, Herr Cook! Das war mutig – aber es bedeutet nicht, dass ihre Daten außerhalb der Reichweite von Strafverfolgern sind.”
Apple habe die Verschlüsselung so implementiert, dass iTunes weiterhin in der Lage sei, Daten wie Fotos und Apps abzurufen, auch wenn ein Gerät gesperrt sei, ergänzte Zdziarski. “Ich habe das mit meinem eigenen Forensik-Tool getestet und kann es bestätigen. Ich habe die Daten aller Drittanbieter-Apps (inklusive Cache, Datenbanken und Screenshots) ausgelesen sowie meine Kamera-Rolle und andere Medien – alles in wenigen Minuten von meinem gesperrten iPhone mit iOS 8 Golden Master.”

Das überwindbare Hindernis

Es gebe zwar eine Hürde, die sei für Strafverfolgungsbehörden allerdings kein Hindernis. Um die Daten auslesen zu können, müsse ein Desktop oder Notebook als “vertrauenswürdiger Computer” auf dem jeweiligen iOS-Gerät hinterlegt sein, so der Forscher weiter. Im Fall einer Verhaftung seien Behörden aber meist in der Lage, nicht nur ein iPhone oder iPad, sondern auch den heimischen PC zu beschlagnahmen. Darauf fänden sich die benötigten Dateien, um Apples Verschlüsselung zu umgehen.
Die auf einem Computer gespeicherten Verbindungsdaten enthalten laut Zdziarski eine Sicherungskopie des Schlüssels, mit dessen Hilfe es möglich sei, die Verschlüsselung eines iOS-Geräts zu knacken – und zwar ohne PIN oder Passwort. Nur so könne iTunes auch auf ein gesperrtes Gerät zugreifen.

Zdziarski´s Tipp

Nutzern empfiehlt Zdziarski, beispielsweise vor Antritt einer Flugreise, ihr iOS-Gerät auszuschalten. Bei jedem Neustart eines iPhone oder iPad würden die Daten für die Verbindung mit einem Computer gelöscht. Auch ein starkes Passwort anstelle einer PIN sei hilfreich, um eine Entschlüsselung per Brute Force zu erschweren.

Des Weiteren forderte Zdziarski Apple auf, eine Passwortabfrage in iTunes zu integrieren, um einen Zugriff auf ein gesperrtes Gerät zu erlauben. Alternativ könne Apple Nutzern auch die Möglichkeit einräumen, unter iOS 8 einen Zugriff auf ein gesperrtes Gerät grundsätzlich zu untersagen. “Viele Nutzer würden gerne diese Option auswählen, um ihre Sicherheit zu verbessern.”
Im Juli hatte Zdziarski eine verdächtige “Hintertür” in allen iOS-Geräten öffentlich gemacht. In iOS 7 integrierte Diagnosedienste, die IT-Abteilungen, Entwicklern und AppleCare bei der Fehlerdiagnose helfen sollen, erlaubten den Zugriff auf persönliche Daten. Unter iOS 8 besteht dieses Problem laut Zdziarski nicht mehr.

Tags :Quellen:Bild: ShutterstockVia:Mit Material von Stefan Beiersmann, ZDNet.de
  1. Ging es bei der Sicherheit nicht darum Daten, ohne im Besitz des Gerätes zu sein, zu bekommen? Also von den Behörden bei Apple besorgte Daten?
    Das meine Daten nicht vollkommen sicher sind wenn jemand mein Handy in die Finger bekommt ist ja wohl klar. ;-) Und die Polizei könnte mich gewisse auch zwingen meinen Finger aufzulegen, anstatt mit Brute Force mein Passwort zu knacken.

  2. Zwingen? Nein, glücklicherweise kann sie das bei uns nicht. Genauso wenig, wie dich jemand zwingen kann vor Gericht als Angeklagter die Wahrheit zu sagen. Also bis jetzt geht es zumindest nicht^^

    1. In einigen Europeitschen Staaten kann die Herausgabe von Passwörter erzwungen werden, z.B. durch bis zu 5 Jahre Erzwingungshaft!
      Z.B. in zivilisierten England: http://www.heise.de/security/meldung/Grossbritannien-Passwort-oder-fuenf-Jahre-Gefaengnis-182650.html
      Da ist zusätzlich zum Verschlüsseln auch das Verstecken, z.B. durch Steganografie notwendig.

      (besonders bei Auslandsreisen mach UK + USA)
      USA Zoll beschlagnahmt oft Datenträger oder ganze Laptops und die Dateninhalte auszuspähen !
      TIP: Daten nie auf Laptop, sondern nur auf externen USB-Stick verschlüsselt und steganografisch versteckt ablegen.
      Oder in verschlüsselt und steganografisch versteckt auf Privat- Server ablegen, und bei Bedarf laden. (Nicht in fremden Cloud !)
      Und regelmäßig auch Datenspuren auf der Laptopfestplatte durch radieren nach DOLD eliminieren. (Nicht nur einfach löschen)

      In Deutschland gib es den § 55 StPO, der Selbstbelastendes nicht zu erzwingen erlaubt.
      Dennoch werden durch den deutschen Staat, Staatsanwaltschaften und Gerichte, die Opfer zu Herausgabe der Passwörter erpresst.
      Z.B. durch jahrelange Beschlagnahme der PCs und Daten, die z.B. ein Unternehmer dringend für seine Geschäfte benötigt.
      Aussenden werden oft höhere Strafen angedroht und verhängt, wenn Passwörter nicht herausgegebenen werden.
      Ihr sieht, auch der deutscher Staat ist nur angeblich ein Rechtsstaat, und beugt das Recht (§ 55 StPO) indirekt über Umwege…

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising