Backups: Bei iOS 10 ist der Passwortschutz schwächer als bei iOS 9

(Bild: Apple)

Die mit iTunes erstellten Backups von iOS 10 lassen sich mit einem Passwortschutz sichern, doch der ist schlechter als bei iOS 9. Das hat der russische Sicherheitssoftwarehersteller Elcomsoft entdeckt. Apple will reagieren.

Der schwächelnde Passwortschutz in iOS 10 scheint sich direkt auf die Datensicherheit auszuwirken. So lassen sich Kennwörter per Brute Force viel leichter knacken – und mit erheblich höherer Geschwindigkeit.

„Die Auswirkungen dieser Schwachstelle sind erheblich. Eine frühe reine CPU-Implementierung dieses Angriffs gibt einen Leistungsschub von Faktor 40 im Vergleich zu einem vollständig GPU-optimierten Angriff auf ein iOS-9-Backup“, schreibt Oleg Afonin, Sicherheitsforscher bei Elcomsoft, in einem Blogeintrag.

Apple habe mit iOS 10 einen alternativen Mechanismus zur Überprüfung des Backup-Passworts eingeführt. Das neue Verfahren lasse bestimmten Sicherheitsprüfungen aus, weswegen das Kennwort 2500-mal einfach zu erraten sei als beim alten Mechanismus von iOS 9 und früher.

Der neue Angriff funktioniert den Forschern zufolge allerdings nur bei lokal mit iTunes erstellten Datensicherungen von iOS-10-Geräten. Sie weisen zudem darauf hin, dass der neue Mechanismus den Backupvorgang nicht nur unsicherer, sondern auch schneller mache. Das alte und langwierigere Verfahren werden aber ebenfalls weiterhin unterstützt.

Lokale iOS-10-Backups lassen sich laut Elcomsoft mit der hauseigenen Software Elcomsoft Phone Breaker 6.10 knacken. Da das Verfahren noch sehr neu sei, sei es bisher noch nicht für die GPU-Hardwarebeschleunigung optimiert worden. Konkret könne die Phone-Breaker-App mithilfe einer Core-i5-CPU von Intel pro Sekunde bis zu 2400 Passwörter für ein iOS-9-Backup überprüfen. Mithilfe einer GPU (Nvidia GTX 1080) seien es schon 150.000 Passwörter pro Sekunde. Bei iOS 10 und einer Core-i5-CPU werde jedoch durch den alternativen Prüfmechanismus ein Wert von 6 Millionen Passwörtern pro Sekunde erreicht.

Die Forscher weisen zudem darauf hin, dass Apples Mobilbetriebssystem mit jeder neuen Version sicherer geworden sei. Ihnen sei derzeit nur eine Möglichkeit bekannt, beispielsweise den Schlüsselbund zu knacken und die darin gespeicherten Kennwörter auszulesen: ein lokales Backup. „Wenn Sie das Passwort knacken können, dann sind Sie in der Lage, den gesamten Inhalt des Backups inklusive Keychain zu entschlüsseln.“

Gegenüber Forbes erklärte Apple, das Problem sei inzwischen bekannt. Ein kommendes Sicherheitsupdate werde die Schwachstelle beseitigen.

Tipp: Wie gut kennst Du Apple? Überprüfe Dein Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising