Forscher: iOS 10 schwächt Passwortschutz von iPhone- und iPad-Backups

Der russische Sicherheitsanbieter Elcomsoft hat herausgefunden, dass mit iTunes erstellte lokale Backups von iOS-10-Geräten schlechter geschützt sind als Datensicherungen von iPhones und iPads mit iOS 9. Als Folge kann das zur Verschlüsselung benutzte Passwort mit einem deutlich geringeren Aufwand bei einem Brute-Force-Angriff, also mit „roher Gewalt“ geknackt werden.

„Die Auswirkungen dieser Schwachstelle sind erheblich. Eine frühe reine CPU-Implementierung dieses Angriffs gibt einen Leistungsschub von Faktor 40 im Vergleich zu einem vollständig GPU-optimierten Angriff auf ein iOS-9-Backup“, schreibt Oleg Afonin, Sicherheitsforscher bei Elcomsoft, in einem Blogeintrag.

Apple habe mit iOS 10 einen alternativen Mechanismus zur Überprüfung des Backup-Passworts eingeführt. Das neue Verfahren lasse bestimmten Sicherheitsprüfungen aus, weswegen das Kennwort 2500-mal einfach zu erraten sei als beim alten Mechanismus von iOS 9 und früher.

Der neue Angriff funktioniert den Forschern zufolge allerdings nur bei lokal mit iTunes erstellten Datensicherungen von iOS-10-Geräten. Sie weisen zudem darauf hin, dass der neue Mechanismus den Backupvorgang nicht nur unsicherer, sondern auch schneller mache. Das alte und langwierigere Verfahren werden aber ebenfalls weiterhin unterstützt.

Lokale iOS-10-Backups lassen sich laut Elcomsoft mit der hauseigenen Software Elcomsoft Phone Breaker 6.10 knacken. Da das Verfahren noch sehr neu sei, sei es bisher noch nicht für die GPU-Hardwarebeschleunigung optimiert worden. Konkret könne die Phone-Breaker-App mithilfe einer Core-i5-CPU von Intel pro Sekunde bis zu 2400 Passwörter für ein iOS-9-Backup überprüfen. Mithilfe einer GPU (Nvidia GTX 1080) seien es schon 150.000 Passwörter pro Sekunde. Bei iOS 10 und einer Core-i5-CPU werde jedoch durch den alternativen Prüfmechanismus ein Wert von 6 Millionen Passwörtern pro Sekunde erreicht.

Die Forscher weisen zudem darauf hin, dass Apples Mobilbetriebssystem mit jeder neuen Version sicherer geworden sei. Ihnen sei derzeit nur eine Möglichkeit bekannt, beispielsweise den Schlüsselbund zu knacken und die darin gespeicherten Kennwörter auszulesen: ein lokales Backup. „Wenn Sie das Passwort knacken können, dann sind Sie in der Lage, den gesamten Inhalt des Backups inklusive Keychain zu entschlüsseln.“

Gegenüber Forbes erklärte Apple, das Problem sei inzwischen bekannt. Ein kommendes Sicherheitsupdate werde die Schwachstelle beseitigen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

8 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

9 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

9 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

12 Stunden ago