ifun.de — Apple News seit 2001. 22 488 Artikel
Passcode als Generalschlüssel

Sicherheitsforscher: iOS 11 ist deutlich unsicherer geworden

Artikel auf Google Plus teilen.
46 Kommentare 46

Der Software-Anbieter ElcomSoft ist ein alter Bekannter. Die russische Firma vertreibt mehrere Forensik-Anwendungen, die Polizei und Strafverfolgungsbehörden beim Zugriff auf iCloud-Sicherungen, Geräte-Backups und Datenbanken helfen sollen, die aus iPad und iPhone ausgelesen worden.

Passcode

Nur mit dem Passcode: Neues iCloud-Passwort bestimmen

ElcomSoft, so könnte man annehmen, dürfte eigentlich kein all zu großes Interesse an einem rundum Einbruchssicheren Mobil-Betriebssystem Apples haben. Dennoch: Unter der Überschrift iOS 11 Horror Story: the Rise and Fall of iOS Security schlägt der Softwareanbieter jetzt Alarm.

Apple, dies hätten langwierige Analysen des Unternehmens gezeigt, hätte die Sicherheit in mehreren Bereichen seines Mobil-Betriebssystems zu Gunsten einer komfortableren Bedienung verschlechtert.

Verglichen mit den vorangegangenen iOS-Versionen habe sich Apple dafür entschieden, zusätzliche Sicherheitsabfragen zu entfernen und setze die Zwei-Faktor-Authentifizierung nicht konsequent genug ein.

Dies führe unter anderem dazu, dass sich komplette iCloud-Benutzerkonten übernehmen lassen, sobald der Angreifer im Besitz eines Gerätes und des entsprechenden Passcodes ist.

Trotz 2-Faktor: Passcode gestattet Account-Übernahme

Sobald ein Dritter im Besitz des Gerätes und der oft nur vierstelligen Sicherheits-PIN ist, kann dieser die von Apple bereitgestellte Anwendung „Mein iPhone finden“ dazu nutzen das Passwort des verbundenen iCloud-Accounts zu ändern, ohne das Original-Passwort zu kennen und ohne eine zusätzliche Sicherheitsabfrage beantworten zu müssen.

Ähnliche Kritik muss sich Apple auch in Sachen Backup-Verwaltung gefallen lassen. Auch hier ist ElcomSoft aufgefallen: Der iPhone-Passcode reicht grundsätzlich aus, um ein neues Geräte-Backup mit einem anderen Verschlüsselungs-Passwort anzulegen.

Itunes Backup

Dies ist gerade für Strafverfolgungsbehörden relevant, da sich aus lokal gesicherten iTunes-Backups viele Informationen (etwa Kurznachrichten und Bilder) extrahieren lassen, die ansonsten nicht ohne Weiteres von iPad und iPhone kopiert werden können. Bislang mussten die Backup-Passwörter am Rechner geändert werden und setzten die Kenntnis über das vorherige Passwort voraus. Unter iOS 11 reicht der Geräte-Passscode.

Einmal drin, lässt sich alles ändern

Der Vorwurf der Russen: Zu Gunsten einer angenehmeren Usability hätte Apple den Geräte-Passcode mit iOS 11 in einen Generalschlüssel verwandelt, mit dessen Hilfe sich ganze Nutzerkonten übernehmen lassen würden.

With the release of iOS 11, Apple developers made too many assumptions, breaking the fragile security/convenience balance and shifting it heavily onto convenience side. Once an intruder gains access to the user’s iPhone and knows (or recovers) the passcode, there is no single extra layer of protection left. Everything (and I mean, everything) is now completely exposed. Local backups, the keychain, iCloud lock, Apple account password, cloud backups and photos, passwords from the iCloud Keychain, call logs, location data, browsing history, browser tabs and even the user’s original Apple ID password are quickly exposed. The intruder gains control over the user’s other Apple devices registered on the same Apple account, having the ability to remotely erase or lock those devices. Finally, regaining control over hijacked account is made difficult as even the trusted phone number can be replaced.

Freitag, 01. Dez 2017, 18:46 Uhr — Nicolas
46 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Und generell beschissener zu allem iOS Versionen ever.

  • Und Vorallem bemerke ich auf meinen IPhone 6Plus starke Leistungsfähigkeit der Apps alles dauert bis es auf geht normal ist das nicht unter der letzen ios 10 war dies nicht zu bemängeln

  • Es geht vor allem darum den Nutzer überflüssigen Mist wie Apple Pay unter zu schieben.

    • Was hat den Apple Pay damit zu tun? Im pbrigen wirst du einmal im Setup gefragt ob dus gerne nutzen möchtest, danach fragt man kein einziges mal mehr nach, es sei den du verstehst unter „unterjubeln“ das Apple Pay in Wallet und den Einstellungen angezeigt wird.

      Bitte um erklärung, muss ne sehr kreative Geschichte sein.

    • Den ich wirklich gern mal untergeschoben hätte. Aber Apple lässt sich damit ja leider arg Zeit.

  • Das ist harte Kritik! Da kann man nir hoffen, dass Apple die angesprochenen Sicherheitsprobleme abstellt.

  • Wäre alles halb so schlimm wenn man wenigstens zu iOS 10 zurück könnte :(

  • Es geht vor allem darum, „ältere“ Devices künstlich zu verlangsamen um deren Obsoleszenz zu beschleunigen. Lässt man die Updates weg, läuft vieles besser.

    Das was dagegen steht, sind dann die Sicherheitslücken, das wird halt schamlos aus Profitgier ausgenutzt.

  • Das mit dem Ändern des Passworts für das iTunes Backup ist mir auch schon aufgefallen. Und Apple schreibt sich ja selbst auf die Fahne besonders an Sicherheit und Datenschutz zu arbeiten.

    • Gerade das ist ja das Peinliche: behaupten viel Sicherer zu sein, aber beim näheren Hinsehen schraubt man die Sicherheit sogar runter.
      Klar, Apple ist nach eigenen Angaben (diese Aussage wurde mit dem Kostenlosen Bereitstellen des letzten OSX getätigt) kein Softwarehersteller. Nur sollte Apple dann mit solchen Aussagen vorsichtig sein.

  • Also ich weiss ja nicht, ein Bericht von einer Firma die im Prinzip darauf angewiesen ist dass andere denken sie könnten ein iPhone knacken, der genau das sagt? Könnte doch auch einfach gutes Marketing sein.

    Ich glaub die grösste Schwäche von iOS ist nach wie vor der Nutzer. Dieser stellt die 2SV nämlich einfach aus wenn man ihn zu oft damit behelligt, dann ist der SChutz ganz weg. Man könnte also auch argumentieren, dass Apple die Sichherheit erhöht in dem sie verhinden das Kunden die Funktionen ausschalten. Auch recht weit hergeholt und mit sicherheit nicht objektiv, genau wie das hier.

    Das ganze geht doch aber genau in die Richtung, verlange ich maximale Sicherheit, wird der Nutzer eher die Funktionen ausschalten, weil er sie nicht versteht oder meint sie störe nur, schliesslich habe er ja nichts zu verstecken. Diese Diskussion hab ich mit meinen Kunden beinahe täglich, die hätten am liebsten sie müssten ihr Passwort einmal eingeben und danach blos nie wieder, so ein Passwort muss man sich ja merken und das System ändert das ja regelmässig, natürlich völlig ohne dass der User je was getan hätte.

    Ich steh der Sache ehr kritisch gegenüber, gerade weil der Bericht nicht unabhängig ist.

    • Das ist genau so. Die Balance zwischen Usability und Sicherheit ist ein ganz schmaler grad. Deshalb wär eine differenziertere Berichterstattung wünschenswert.
      Ich musst schon so vielen das Passwort der Apple ID zurücksetzen weil sie es nicht mehr wussten.
      Und dann muss man auch sehen; das mit dem Encrypted Backup war ja unter iOS 10 so:
      Man ging an einen neuen Computer, clickte Vertrauen auf dem iPhone und dann konnte man ein verschlüsseltes Backup machen und sogar das Passwort festlegen.
      Und da hat niemand rumgeheult. Aber jetzt ist es ja iOS 11 und da ist ja ganz chic dies zu machen.

  • Gute Nachrichten für die fleißigen Jailbreak Entwickler. Daumen hoch.

  • Ob da nicht Apple dem Druck des FBI nachgegeben hat?

  • Selbst wenn man noch iOS 10 hätte:

    What if the iPhone in question runs an earlier version of iOS that does not allow removing backup passwords? I say you’re lucky because you can simply update that device to iOS 11 and then reset that password. We tried this strategy multiple times, and not once did we have an issue.

  • Die „Mein iPhone suchen“ App will erstmal Apple ID und Passwort, ansonsten lässt sich damit überhaupt nichts machen. Nach Benutzung wieder „abmelden“ verhindert zumindest den Missbrauch über diese App.

  • Ich finde das ist mir zu reißerisch: es liegt immer noch am Anwender, wie kompliziert er seinen Passcode wählt. er muss ihn schließlich relativ selten eingeben. Und ist es nicht so, dass der Passcode maximal 5(?) mal falsch eingegeben werden darf? Ein potentieller Datendieb hat sich da doch relativ schnell ausgeknockt.
    versteht mich nicht falsch- 2 Faktor ist eine gute Sache, aber wie hier auch schon einige geschrieben haben nicht sonderlich komfortabel und ich finde den Kompromiss daher verständlich. Egal ob 1- oder 2- Faktor- Leute, gebt auf euer Kennwort acht!

  • ist so gewollt … DIE behörden fordern es !!!

  • Hallo,
    ich finde diese „Sicherheitslücke“ auch bedenklich aber…wenn jemand das iPhone hat und die vierstellige PIN, dann kommt er doch sowieso an alle Daten ran. In der Cloud liegen doch nur Kopien von den Daten, die ich auf dem Handy habe oder sehen kann. Oder verstehe ich das falsch?

  • Der Hauptkritikpunkt ist also der oft nur vierstellige Passcode. Und an dem ist Apple schuld?

  • Das ist alles sehr reisserisch. Sorry, aber die meisten Dinge waren ja schon vorher so. Und das mit dem Reset des Passworts: das muss so sein. Was ist mit den Usern die nur ein iPhone haben? Die können ja das Resetten des Passworts nicht auf einem anderen Gerät bestätigen.
    Und Apple pusht die User immer mehr zu 6-stelligen Codes.

    Und wisst ihr auch was eine mega Sicherheitslücke ist? Wenn jemand mein Apple ID Passwort kennt und das Passwort meines iPhones dann kann er auf meine Apple ID gehen! Soooo unsicher!
    Kommt hört doch auf….

  • DJ . Mercedes Benz

    Ja das ist unsicher aber bei Android ist das richtig doof da kann man alles sehen,

  • Die Treffen mit Trump und der Ärger mit der NSA spielt bestimmt keine Rolle beim einfacheren Zugriff auf die Geräte.
    Ein Schelm, wer Böses dabei denkt….

  • Um die Ecke herum nun DOCH den Behörden eine Hintertür eingebaut.
    Wenn ich nicht schon gerade umgestiegen wäre, würde ich jetzt rennen.

  • Trotzdem ist iOS besser als Android
    Samsung muss sich nicht um die OS kümmern. Es wird einfach Android draufgeklatscht.
    Trotz Bugs auf iOS, finde ich alles ok :)

  • Android ist viel zu unsicher iOS 11 ist auch unsicherer geworden aber noch sicherer als Android,

  • Am Schlimmsten an der Zweifaktor Authentifizierung finde ich, dass man sich nicht mehr im Browser bei icloud anmelden kann um sein gestohlenes oder verlorenes Iphone zu finden, ohne sich mit selbigen den Zugang via Zweifaktorcode zu bestätigen. Was soll der unsinnige Schrott, ergo -> Deaktiviert und so bleibt es

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 22488 Artikel in den vergangenen 5900 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven