Fraunhofer Institut: Passwörter von iPhone auslesen leicht gemacht
kg, den 10. Februar 2011Wer ein iPhone hat, der sollte sich mit trotz eingerichteter Codesperre auf dem Gerät nicht darauf vertrauen, dass die darauf gespeicherten Passwörter sicher sind: Dem Fraunhofer-Institut ist es gelungen, Passwörter aus einem ansonsten gelockten iPhone auszulesen.
So praktisch der Jailbreak für all jene Nutzer auch sein mag, die von Apple nicht autorisierte Apps installieren möchten, so viel Gefahr kann er auch bergen: Zwei Forscher des Fraunhofer Instituts für Sichere Informationstechnologie konnten mittels eines leicht modifizierten Jailbreaks einen SSH-Server auf einem iPhone 4 mit iOS 4.2.1 installieren, der beim Booten automatisch gelauncht wird. Dieser umgeht unter anderem eine eingerichtete Codesperre, da diese erst nach dem regulären Boot des Geräts abgefragt werden würde.
Zugreifen konnten die Forscher die im Schlüsselbund abgelegten Passwörter, die iOS-eigene Entschlüsselung machte dies möglich, ohne eine Verschlüsselung knacken zu müssen. Mittels einer eigenen App konnten die auf dem Gerät vorliegenden Passwörter direkt ausgelesen werden, z. B. für VPN, WiFi, aber auch die in einigen systemeigenen Apps.
[mn-youtube id="uVGiNAs-QbY"]Auf dem iPhone gibt es durchaus spezielle Schutzmechanismen, in iOS 4 kann mittels bestimmten Attributen verhindert werden, dass die Passwörter und Daten ohne Eingabe des Passcodes ausgelesen werden können. Dennoch machen weite Teile der verfügbaren Apps nicht Gebrauch davon.
Der Hack nimmt nur wenige Minuten Zeit in Anspruch, es wäre folglich ein leichtes für Hacker, Zugriff auf Daten zu bekommen, die nicht in ihre Hände gehören.
Dass es beim iPhone so einfach ist, den Hack zu installieren, liegt unter anderem daran, dass sich die Jailbreak-Community so intensiv mit dem iPhone beschäftigt. Die Tools sind einfach anzuwenden und bedürfen keinen umfangreicheren Entwicklungskenntnissen.
Unser Tipp deshalb: Wer die Möglichkeit hat, sollte von „Mein iPhone suchen“ Gebrauch machen und eine Fernlöschung vornehmen, sobald das Gerät verloren wird. Zudem sollte man sicherheitshalber alle vorhandenen Passwörter ändern.
[via heise]