Digital Life
26.09.2016

Backups in iOS 10 können 40-mal schneller geknackt werden

Eine Schwachstelle in iOS 10 ermöglicht es, bei lokalen Backups von iPhone und iPad sechs Millionen Passwörter pro Sekunde auszuprobieren.

Elcomsoft hat eine Schwachstelle in iOS 10 entdeckt. Diese erlaubt es lokale Backups in iTunes viel schneller zu knacken. Mit Brute Force können jetzt sechs Millionen Passwörter pro Sekunde ausprobiert werden. Bei iOS 9 waren maximal 150.000 Passwörter pro Sekunde möglich. Ausprobiert hat dies Elcomsoft mit seinem eigenen Tool Phone Breaker. Zukünftig könnten noch mehr Passwörter pro Sekunde abgefragt werden, da Phone Breaker für iOS 10 derzeit nur mit der CPU arbeitet und noch nicht mit der Leistung der GPU.

Laut Elcomsoft könne man auch ohne GPU-Leistung die Erfolgsquote erhöhen, indem man mit Phone Breaker etwa die Liste der 10 Millionen häufigsten Passwörter abfragt. Dies habe eine 34-prozentige Erfolgsquote – und das in weniger als zwei Sekunden. Würde man Phone Breaker zwei Tage laufen lassen, erhöhe sich die Erfolgsquote auf bis zu 90 Prozent.

Schlüsselbund

Diese Angriffsmethode könnte vor allem bei Behörden auf Interesse stoßen, die Smartphone und Computer der Verdächtigen beschlagnahmt haben. Aus einem iTunes-Backup lassen sich nämlich nicht nur die üblichen Dateien extrahieren, sondern auch der Schlüsselbund. Dieser enthält in Safari gespeicherte Passwörter, Kreditkartendaten und Daten von Apps, die die Entwickler besonders schützen wollen.

Laut Elcomsoft sei es so gut wie unmöglich an den Schlüsselbund zu kommen, wenn direkt versucht wird das iOS-10-Gerät zu hacken. Das Erstellen eines iTunes-Backups sei aber bei einem entsperrtem Gerät sehr leicht möglich. Auch ließe sich ein Backup eines gesperrten Geräts anfertigen. Dazu müsse man aber die Aufzeichnung eines früheren, erfolgreichen Pairings von einem Computer extrahieren.

Apple ist sich der Schwachstelle bewusst und empfiehlt Usern den Computer mit einem starkem Passwort zu sichern. Gegenüber Forbes wird betont, dass iCloud-Backups nicht von dem Problem betroffen sind und an einem Sicherheits-Update gearbeitet wird.