Ein Sicherheitsforscher hat einen Weg gefunden, ein Passwort auf einem aktuellen iOS-Gerät zu erzwingen. Dabei habe er die Sicherheitsmechanismen für iOS umgangen und damit verschlüsselte Daten gefährdet, so ZDNet.
Aktualisieren: Apple übermittelte Rene Ritchie die folgende Erklärung:
Der kürzlich veröffentlichte Bericht über eine Passcode-Umgehung auf dem iPhone war fehlerhaft und das Ergebnis fehlerhafter Tests.
Seit 2014 werden iPhones und iPad mit iOS 8 und Geräteverschlüsselung ausgeliefert. Geschützt durch einen vier- oder sechsstelligen Passcode, hat die Kombination von Software und Hardware es nahezu unmöglich gemacht, in ein iPhone oder iPad einzudringen. Vielleicht noch wichtiger ist, dass die Daten eines Geräts gelöscht werden, nachdem jemand 10 Mal das falsche Kennwort eingegeben hat.
Matthew Hickey von Hacker House hat eine Möglichkeit gefunden, das 10-fache Limit zu umgehen und so viele Codes wie nötig einzugeben. Wie er bemerkte: "Ein Angreifer braucht nur ein eingeschaltetes, gesperrtes Telefon und ein Blitzkabel."
Wie ZDNet erklärt:
Normalerweise ist bei iPhones und iPads die Anzahl der Eingaben eines Passcodes pro Minute begrenzt. Neuere Apple-Geräte enthalten eine „sichere Enklave“, einen Teil der Hardware, der nicht geändert werden kann. Dadurch wird das Gerät vor Brute-Force-Angriffen wie der Eingabe möglichst vieler Passwörter geschützt. Die sichere Enklave zählt, wie viele falsche Passcode-Versuche eingegeben wurden, und reagiert bei jedem fehlgeschlagenen Versuch langsamer.
Hickey hat einen Weg gefunden, das zu umgehen. Er erklärte, wenn ein iPhone oder iPad angeschlossen ist und ein mutmaßlicher Hacker Tastatureingaben sendet, wird eine Interrupt-Anforderung ausgelöst, die Vorrang vor allem anderen auf dem Gerät hat.
Hier ist eine Demo:
Hickey seinerseits hat Apple bereits Details zu dem Fehler per E-Mail geschickt und erklärt: "Ich vermute, andere werden ihn finden - oder haben ihn bereits gefunden."
Wenn in iOS Sicherheitslücken entdeckt werden, hat Apple relativ schnell eine Lösung gefunden. Leider dauert es nicht lange, bis etwas anderes entdeckt wird. Gerade in diesem Monat wurde zum Beispiel berichtet, dass Apple eine Lücke schließt, die es Strafverfolgungsbehörden und Hackern ermöglicht, iPhones zu knacken. Zweifellos wird eine neue Problemumgehung bald perfektioniert.
