Werbung
Apples Hard- und Software ist eine beliebte Plattform für Angriffe. Auch wenn Apples Mechanismen dabei recht sicher sind, gibt es immer wieder Lücken in diesem Sicherheitsnetz und diese sorgen dann auch für Angriffe, wie zuletzt mittels NAND-Kopie. Wer sein iPhone oder iPad per Touch ID oder Codesperre versieht, fühlt sich meist recht sicher. Das ein vierstelliger Code aber keine unüberwindbare Hürde ist, sollte jedem klar sein.
Die Daten eines iPhone oder iPad sind aber nicht nur auf dem Gerät selbst in Gefahr, sondern auch die mittels iTunes erstellten Backups gehören geschützt. Apple lässt diese Backups daher mit einem Passwort versehen. Damit lassen sich auch sämtliche Passwörter und das neue Gerät übertragen. Im Zusammenspiel mit iTunes und iOS 10 wurde nun aber ein Problem bekannt, welches dafür sorgt, dass sich die verschlüsselten Backups relativ einfach entschlüsseln lassen.
Um das Passwort des iTunes-Backup zu knacken, wird – wie so oft – eine Brute-Force-Attacke angewendet. Das iPhone schützt sich gegen solche Angriffe durch eine Beschränkung der Versuche und auch verzögerte Intervalle, in denen eine neue Eingabe des Passwortes möglich ist. Offenbar gibt es nun aber zusätzlich ein Problem mit der Verschlüsselungsstärke. Dies soll dazu führen, dass die Verschlüsselung des iTunes-Backup um den Faktor 2.500 schwächer ist als zuvor. Mit iOS 9 konnten mit einem Intel-Core-i5-Prozessor 2.400 Passwörter pro Sekunde versucht werden. Mit GPU-Unterstützung (NVIDIA GeForce GTX 1080) sind es 150.000 Passwörter. Ein Intel Core i5 erreicht bei einem iOS-10-Backup 6.000.000 Passwörter pro Sekunde.
Der Grund liegt womöglich im verwendeten Hashing-Algorithmus. Bisher verwendete Apple den PBKDF2-Hashing-Algorithmus (Password-Based Key Derivation Function 2), eine Funktion die pseudozufällig zusammen mit einem sogenannten Salt dafür sorgt, dass auf das ursprüngliche Passwort nur schwer Rückschlüsse möglich sind. Mit iOS 10 und der aktuellen iTunes-Version wechselt Apple auf den SHA256-Hashing-Algorithmus und dieser wird nur in einer Iteration angewendet.
Apple ist sich laut Forbes dem Problem bewusst und arbeitet an einer Lösung:
"We're aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups," a spokesperson said. "We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption."
Derzeit empfiehlt man Nutzern den Zugang zum Rechner zu erschweren, um damit die relativ schwachen Backups zu schützen. Mit einem zukünftigen Update soll das Problem dann vollständig beseitigt werden.