Schwachstelle bei iTunes-Backups von iOS-10-Geräten

Verschlüsselte Backups von iOS-10-Geräten sind den Sicherheitsforschern von ElcomSoft zufolge deutlich schwächer gesichert als dies bei vorherigen iOS-Versionen der Fall war. Das Unternehmen hat nach eigenen Aussagen ein Tool entwickelt, mit dem sich das Herausfinden von komplexen Passwörtern unter iOS 10 erheblich beschleunigen lässt.

Alle Versionen von iOS vor iOS 10 sind mit einem extrem robusten Schutz ausgestattet. Die Chancen, ein langes, komplexes Kennwort zu knacken, waren sehr gering und eine beschleunigte Ermittlung selbst dann nur mit einer leistungsstarken GPU möglich. Aufgrund unserer Entdeckung können wir nun Passwörter von iOS 10-Backups viel schneller ermitteln und das sogar ohne GPU-Beschleunigung.

Das von ElcomSoft entwickelte Software-Tool Phone Breaker könne sogenannte Brute-Force-Attacken unter iOS 10 bis zu 2500 Mal schneller ausführen. Während ein einzelner PC unter iOS 9 noch 150.000 Passwörter pro Sekunde abfragen konnte, lassen sich unter iOS 10 mit einer einzigen CPU bis zu 6 Millionen Passwörter pro Sekunde durchprobieren. Ein 6-stelliges, alphanumerisches Passwort, das ein iOS 10-Backup schützt, kann dem Unternehmen zufolge so innerhalb von wenigen Minuten geknackt werden. Der neu in Version 6.10 angebotene Elcomsoft Phone Breaker beinhaltet darüber hinaus ein Werkzeug zum Entschlüsseln des iOS-10-Schlüsselbunds und bietet damit Zugriff auf vom Nutzer gespeicherte Logins zu Webseiten und sonstigen Online-Angeboten.

Was bedeutet das für euch?

Die Schwachstelle betrifft zum einen nur iTunes-Backups, die in der Regel sicher auf eurem lokalen Rechner verwahrt sind. iCloud-Backups sind davon offenbar nicht betroffen. Somit ist die Gefahr, dass eure Daten auf diesem Wege ausgespäht werden zunächst sehr gering.

Unabhängig davon ist es natürlich immer eine gute Idee, komplexe Passwörter zum Schutz der persönlichen Daten zu verwenden. Das von ElcomSoft genannte Beispiel bezieht sich auf den vergleichsweise schwachen Schutz durch ein lediglich 6-stelliges Passwort ohne Sonderzeichen.

Apple hat dem Wirtschaftsmagazin Forbes zufolge bereits bestätigt, dass der Sachverhalt bekannt sei und ein Sicherheits-Update in Arbeit wäre. Das Unternehmen empfiehlt, zusätzlich den privaten Mac oder PC mit einem starken Passwort zu sichern sowie auf dem Mac die Aktivierung der Festplattenverschlüsselung FileVault.

We’re aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups. We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption