Sicherheits-Leck

09. Februar 2011 15:51; Akt: 09.02.2011 16:22 Print

Forscher knacken iPhone-Verschlüsselung

Deutsche Sicherheitsexperten haben eine Schwachstelle bei iPhone und iPad entdeckt. Vor allem für Unternehmen bedeuten diese eine grosse Gefahr.

storybild

Die Schwachstelle im Sicherheitsdesign von iPhone und iPad betrifft alle Geräte mit der neuesten Firmware, iOS 4.2.1. (Symbolbild: Keystone)

Zum Thema
Fehler gesehen?

Wer sein iPhone verliert, dessen Passwörter sind nicht sicher. Das ist das Ergebnis von Tests am Fraunhofer-Institut SIT in Darmstadt. Mitarbeitern des Instituts ist es demnach gelungen, die Geräteverschlüsselung des iPhones auszuhebeln und viele der auf dem Gerät gespeicherten Passwörter in sechs Minuten zu entschlüsseln.

Wenn das Gerät im Unternehmen eingesetzt werde, sei unter Umständen auch die Sicherheit des Firmennetzwerks bedroht, heisst es in einer aktuellen Medienmitteilung. Die Schwachstelle im Sicherheitsdesign auf iPhone und iPad betreffe alle Geräte mit der neuesten Firmware. Eine schriftliche Dokumentation sowie ein Video zum Angriff sind im Internet auf der Instituts-Website abrufbar.

Falsche Sicherheit

Nur Unternehmen, die auf solche Angriffe vorbereitet seien, könnten die entsprechenden Risiken deutlich reduzieren, heisst es. Viele Menschen glaubten, dass die Geräteverschlüsselung von Smartphones für ausreichende Sicherheit sorge. «Selbst in den Sicherheitsabteilungen von Unternehmen sind wir immer wieder auf diese Einschätzung gestossen», sagt Jens Heider, technischer Leiter im Testlabor IT-Sicherheit am Fraunhofer SIT. «Unsere Demonstration beweist, dass dies ein Trugschluss ist. Selbst Geräte, die mit hohen Sicherheitseinstellungen betrieben werden, liessen sich in kürzester Zeit knacken.»

Um an die Passwörter zu gelangen, die auf dem Gerät in der Keychain gespeichert sind, mussten die Tester die eigentliche 256-Bit-Verschlüsselung gar nicht brechen. Vielmehr machten sie sich eine Schwäche im Sicherheitsdesign zunutze: Das grundlegende Geheimnis, auf dem die Verschlüsselung der angegriffenen Passwörter bei iPhone und iPad basiert, wird im aktuellen Betriebssystem auf dem Gerät gespeichert. Dadurch ist die Verschlüsselung unabhängig vom persönlichen Kennwort, das den Zugang zum Gerät schützen soll.

Notfall-Abläufe planen

Der Angriff sei bei jedem Gerät mit dem iOS-Betriebssystem möglich, unabhängig vom verwendeten Kennwort des Benutzers. Sobald ein Angreifer im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten, z.B. sozialen Netzwerken, muss der Angreifer einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer.

Unternehmen, die sich vor den Folgen solcher Angriffe schützen möchten, sollten ihre Mitarbeiter entsprechend sensibilisieren und entsprechende Notfall-Abläufe einführen. Wenn ein Mitarbeiter sein iPhone verliert, sollte nicht nur er alle seine Passwörter ändern, auch die Firma sollte die betreffenden Netzkennungen so schnell wie möglich erneuern. Jens Heider: «Hier zeigt sich, wie gut das Sicherheitskonzept auf die mobile Herausforderung eingestellt ist.»

(sda)