Der russische Sicherheitsanbieter Elcomsoft hat herausgefunden, dass mit iTunes erstellte lokale Backups von iOS-10-Geräten schlechter geschützt sind als Datensicherungen von iPhones und iPads mit iOS 9. Als Folge kann das zur Verschlüsselung benutzte Passwort mit einem deutlich geringeren Aufwand bei einem Brute-Force-Angriff, also mit „roher Gewalt“ geknackt werden.
Apple habe mit iOS 10 einen alternativen Mechanismus zur Überprüfung des Backup-Passworts eingeführt. Das neue Verfahren lasse bestimmten Sicherheitsprüfungen aus, weswegen das Kennwort 2500-mal einfach zu erraten sei als beim alten Mechanismus von iOS 9 und früher.
Der neue Angriff funktioniert den Forschern zufolge allerdings nur bei lokal mit iTunes erstellten Datensicherungen von iOS-10-Geräten. Sie weisen zudem darauf hin, dass der neue Mechanismus den Backupvorgang nicht nur unsicherer, sondern auch schneller mache. Das alte und langwierigere Verfahren werden aber ebenfalls weiterhin unterstützt.
Lokale iOS-10-Backups lassen sich laut Elcomsoft mit der hauseigenen Software Elcomsoft Phone Breaker 6.10 knacken. Da das Verfahren noch sehr neu sei, sei es bisher noch nicht für die GPU-Hardwarebeschleunigung optimiert worden. Konkret könne die Phone-Breaker-App mithilfe einer Core-i5-CPU von Intel pro Sekunde bis zu 2400 Passwörter für ein iOS-9-Backup überprüfen. Mithilfe einer GPU (Nvidia GTX 1080) seien es schon 150.000 Passwörter pro Sekunde. Bei iOS 10 und einer Core-i5-CPU werde jedoch durch den alternativen Prüfmechanismus ein Wert von 6 Millionen Passwörtern pro Sekunde erreicht.
Die Forscher weisen zudem darauf hin, dass Apples Mobilbetriebssystem mit jeder neuen Version sicherer geworden sei. Ihnen sei derzeit nur eine Möglichkeit bekannt, beispielsweise den Schlüsselbund zu knacken und die darin gespeicherten Kennwörter auszulesen: ein lokales Backup. „Wenn Sie das Passwort knacken können, dann sind Sie in der Lage, den gesamten Inhalt des Backups inklusive Keychain zu entschlüsseln.“
Gegenüber Forbes erklärte Apple, das Problem sei inzwischen bekannt. Ein kommendes Sicherheitsupdate werde die Schwachstelle beseitigen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.