Produkte
11.02.2011

iPhone-Passwörter in sechs Minuten geknackt

Am deutsche Fraunhofer Institut wurde demonstriert, wie sämtliche am iPhone gespeicherte Keychain-Passwörter innerhalb kürzester Zeit ausgelesen werden können.

Mit dem Titel "Lost iPhone? - Lost passwords!" demonstrierten die Forscher wie einfach es möglich ist die Passwörter, die auf dem iPhone gespeichert sind, innerhalb kürzester Zeit auszulesen. Dies gelang, ohne den iPhone-Passcode auszulesen. Der Hack basiert auf bereits existierenden Schwachstellen, die von Außen enormen Zugriff auf das Smartphone zulassen, sogar während jenes mit dem Passcode gesperrt ist. Aktuell können so sämtliche Keychain-Passwörter ausgelesen werden, Daten in höheren Verschlüsselungsstufen bleiben verborgen. Unter den so ausgelesenen Passwörtern könnten sich etwa Zugangsdaten für Netzwerke oder eMail-Accounts, aber auch Passwörter für bestimmte Apps befinden.

Vorgang in drei Schritten
Der Vorgang, den die Forscher beschreiben, teilte sich in drei Schritte auf: So müsse das iPhone zuerst mittels Jailbreak freigeschaltet werden, danach wird ein SSH-Server installiert. Jener erlaubt es, Software auf dem iPhone auszuführen. Als dritter Schritt wird ein bestimmtes Script auf das Smartphone kopiert, das die Passwörter ausliest und ausgibt. Laut den Entwicklern nutzt das Script ähnliche Methoden, die auch das iPhone selbst zum Auslesen der Passwörter vornimmt. Der gesamte Vorgang dauert laut dem Institut rund sechs Minuten.

Große Auswirkungen
In einer Stellungnahme teilt das Fraunhofer-Institut mit: "Sobald ein Angreifer im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten z.B. sozialen Netzwerken, muss der Angreifer einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer."

Das Institut rät Unternehmen, ihre Mitarbeiter auf den möglichen Verlust ihrer iPhones oder iPads vorzubereiten und entsprechende Notfallszenarien zu entwickeln, um so schnell reagieren zu können. Im konkreten Fall müsste also jeder iPhone-User nach Verlust des Geräts sofort alle Passwörter ändern.

Mehr zum Thema

iPhone-Apps spionieren Nutzer aus

(futurezone)