{"id":116022,"date":"2017-12-01T18:46:37","date_gmt":"2017-12-01T17:46:37","guid":{"rendered":"https:\/\/www.ifun.de\/?p=116022"},"modified":"2017-12-01T18:50:13","modified_gmt":"2017-12-01T17:50:13","slug":"sicherheitsforscher-ios-11-ist-unsicherer-geworden","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/sicherheitsforscher-ios-11-ist-unsicherer-geworden-116022\/","title":{"rendered":"Sicherheitsforscher: iOS 11 ist deutlich unsicherer geworden"},"content":{"rendered":"

Der Software-Anbieter ElcomSoft ist ein alter Bekannter<\/a>. Die russische Firma vertreibt mehrere Forensik-Anwendungen, die Polizei und Strafverfolgungsbeh\u00f6rden beim Zugriff auf iCloud-Sicherungen, Ger\u00e4te-Backups und Datenbanken helfen sollen, die aus iPad und iPhone ausgelesen worden.<\/p>\n

\"Passcode\"<\/a><\/p>\n

Nur mit dem Passcode: Neues iCloud-Passwort bestimmen<\/h6>\n

ElcomSoft, so k\u00f6nnte man annehmen, d\u00fcrfte eigentlich kein all zu gro\u00dfes Interesse an einem rundum Einbruchssicheren Mobil-Betriebssystem Apples haben. Dennoch: Unter der \u00dcberschrift iOS 11 Horror Story: the Rise and Fall of iOS Security<\/a> schl\u00e4gt der Softwareanbieter jetzt Alarm. <\/p>\n

Apple, dies h\u00e4tten langwierige Analysen des Unternehmens gezeigt, h\u00e4tte die Sicherheit in mehreren Bereichen seines Mobil-Betriebssystems zu Gunsten einer komfortableren Bedienung verschlechtert.<\/p>\n

Verglichen mit den vorangegangenen iOS-Versionen habe sich Apple daf\u00fcr entschieden, zus\u00e4tzliche Sicherheitsabfragen zu entfernen und setze die Zwei-Faktor-Authentifizierung nicht konsequent genug ein.<\/p>\n

Dies f\u00fchre unter anderem dazu, dass sich komplette iCloud-Benutzerkonten \u00fcbernehmen lassen, sobald der Angreifer im Besitz eines Ger\u00e4tes und des entsprechenden Passcodes ist.<\/p>\n

Trotz 2-Faktor: Passcode gestattet Account-\u00dcbernahme<\/h2>\n

Sobald ein Dritter im Besitz des Ger\u00e4tes und der oft nur vierstelligen Sicherheits-PIN ist, kann dieser die von Apple bereitgestellte Anwendung „Mein iPhone finden“ dazu nutzen das Passwort des verbundenen iCloud-Accounts zu \u00e4ndern, ohne das Original-Passwort zu kennen und ohne eine zus\u00e4tzliche Sicherheitsabfrage beantworten zu m\u00fcssen.<\/p>\n

\u00c4hnliche Kritik muss sich Apple auch in Sachen Backup-Verwaltung gefallen lassen. Auch hier ist ElcomSoft aufgefallen: Der iPhone-Passcode reicht grunds\u00e4tzlich aus, um ein neues Ger\u00e4te-Backup mit einem anderen Verschl\u00fcsselungs-Passwort anzulegen. <\/p>\n

\"Itunes<\/a><\/p>\n

Dies ist gerade f\u00fcr Strafverfolgungsbeh\u00f6rden relevant, da sich aus lokal gesicherten iTunes-Backups viele Informationen (etwa Kurznachrichten und Bilder) extrahieren lassen, die ansonsten nicht ohne Weiteres von iPad und iPhone kopiert werden k\u00f6nnen. Bislang mussten die Backup-Passw\u00f6rter am Rechner ge\u00e4ndert werden und setzten die Kenntnis \u00fcber das vorherige Passwort voraus. Unter iOS 11 reicht der Ger\u00e4te-Passscode.<\/p>\n

Einmal drin, l\u00e4sst sich alles \u00e4ndern<\/h2>\n

Der Vorwurf der Russen: Zu Gunsten einer angenehmeren Usability h\u00e4tte Apple den Ger\u00e4te-Passcode mit iOS 11 in einen Generalschl\u00fcssel verwandelt, mit dessen Hilfe sich ganze Nutzerkonten \u00fcbernehmen lassen w\u00fcrden.<\/p>\n

With the release of iOS 11, Apple developers made too many assumptions, breaking the fragile security\/convenience balance and shifting it heavily onto convenience side. Once an intruder gains access to the user\u2019s iPhone and knows (or recovers) the passcode, there is no single extra layer of protection left. Everything (and I mean, everything) is now completely exposed. Local backups, the keychain, iCloud lock, Apple account password, cloud backups and photos, passwords from the iCloud Keychain, call logs, location data, browsing history, browser tabs and even the user\u2019s original Apple ID password are quickly exposed. The intruder gains control over the user\u2019s other Apple devices registered on the same Apple account, having the ability to remotely erase or lock those devices. Finally, regaining control over hijacked account is made difficult as even the trusted phone number can be replaced.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"\"Itunes<\/a>

Der Software-Anbieter ElcomSoft ist ein alter Bekannter. Die russische Firma vertreibt mehrere Forensik-Anwendungen, die Polizei und Strafverfolgungsbeh\u00f6rden beim Zugriff auf iCloud-Sicherungen, Ger\u00e4te-Backups und Datenbanken helfen sollen, die aus iPad und iPhone ausgelesen worden. Nur mit dem Passcode: Neues iCloud-Passwort bestimmen ElcomSoft, so k\u00f6nnte man annehmen, d\u00fcrfte eigentlich kein all zu gro\u00dfes Interesse an einem rundum […]<\/p>\n","protected":false},"author":1,"featured_media":116026,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9],"tags":[88,92],"class_list":["post-116022","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ios","tag-security","tag-sicherheit"],"acf":[],"aioseo_notices":[],"subheadline":["Passcode als Generalschl\u00fcssel"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/security.jpg"],"rest_api_enabler":{"subheadline":"Passcode als Generalschl\u00fcssel","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/12\/security.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/116022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=116022"}],"version-history":[{"count":6,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/116022\/revisions"}],"predecessor-version":[{"id":116031,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/116022\/revisions\/116031"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/116026"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=116022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=116022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=116022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}