Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple bestätigt Sicherheitsprobleme mit iOS-Backups

Backups von iPhone und iPad lassen sich sowohl via iCloud als auch über iTunes anlegen. Allerdings wurde in der vergangenen Woche bekannt, dass es eine maßgebliche Abschwächung der Verschlüsselung gab - mit iOS 10 erstellte iTunes-Backups sind demnach erheblich einfacher zu knacken, es als bei früheren iOS-Versionen der Fall war. Elcomsoft hatte entdeckt, dass sich mit den Änderungen sechs Millionen Passwörter pro Sekunde ausprobieren lassen, die Chance in überschaubarer Zeit das korrekte Passwort zu erraten, liege bei bis zu 90 Prozent. Etwa 40x aufwändiger war die Berechnung vorher, also bei iOS 9 und älter.


Apple bestätigt den Fehler
Apple hat nun Stellung zur Angelegenheit genommen und den Fund der Sicherheitsforscher kommentiert. Demnach handle es sich bei der Verwendung des schwachen Algorithmus um einen Fehler und nicht um eine bewusste Entscheidung. Man sei sich darüber bewusst, dass es Probleme mit der Verschlüsselungsstärke bei Backups gebe, die auf Mac und PC angelegt wurden. Mit einem kommenden Sicherheits-Update werde Apple die Problematik beseitigen. Eine genauere Zeiteinschätzung nannte Apple in der Stellungnahme allerdings nicht.

Apples Tipps
Bis zum versprochenen Update solle der Nutzer darauf achten, den Computer mit einem sehr sicheren Passwort zu schützen, so Apple. Auch die Aktivierung von FileVault zur Verschlüsselung des Laufwerks sei anzuraten. Über iCloud angelegte Backups sind übrigens nicht vom Fehler betroffen. Um an das iTunes-Backup eines Nutzers zu gelangen, müssen Angreifer Zugang zum Mac oder zum PC des Anwenders haben. Da die Angelegenheit inzwischen öffentlich diskutiert wird, lässt sich Apple höchstwahrscheinlich nicht allzu viel Zeit mit der Aktualisierung. Es ist damit zu rechnen, dass schon in den kommenden Tagen ein Update erscheint. Eine genauere Beschreibung des Sicherheitsproblems bietet der folgende Artikel, in dem auch die beiden eingesetzten Verschlüsselungsverfahren zur Sprache kommen.
Test Kopfhörer FiiO FT5
Test Kopfhörer FiiO FT5
Update-Abend: Apple gibt macOS 14.4, watchOS 10.4 und tvOS 17.4 in der finalen Version frei
Update-Abend: Apple gibt macOS 14.4, watchOS 10...
Mac-Tipp: Eigene Tastenkürzel für Menübefehle
Mac-Tipp: Eigene Tastenkürzel für Menübefehle
Offizielle TSMC-Ankündigung: Die nächsten großen Schritte
Offizielle TSMC-Ankündigung: Die nächsten große...
Kurz: Netflix-Preiserhöhung auch für Bestandskunden +++ Passkey-Unterstützung für WhatsApp
Kurz: Netflix-Preiserhöhung auch für Bestandsku...
Test FiiO R9
Test FiiO R9
Apple-Event angekündigt
Apple-Event angekündigt
Weitere Apple-Prozessoren geplant: Entwicklung von Serverchips
Weitere Apple-Prozessoren geplant: Entwicklung ...

Kommentare

mistamilla
mistamilla25.09.16 17:29
Über iCloud angelegte Update sind...

Der klassische Verwechsler von Backup und Update

Edit: aha, schnell korrigiert...
ITZA GOOTZIE
0
flyingangel25.09.16 19:05
Na ob das wirklich unabsichtlich passiert ist? Ich kann es mir nicht vorstellen...

Ich glaube eher "Probieren wir es mal, vielleicht merkts ja keiner!"
0
macmuckel
macmuckel25.09.16 19:09
Ich frage mich ja, wie so etwas versehentlich passiert.

Aber abgesehen davon finde ich das Problem nicht so dramatisch, denn wenn jemand es schaffen sollte an die Backupdatei auf meinem Mac überhaupt ranzukommen habe ich ganz andere Sorgen.
0
MacRudi25.09.16 20:01
Ich finde auch, dass so etwas nicht aus Versehen passiert. Es sei denn, man war gerade an der Stelle. Und wenn man an der Stelle war, dann prüft man auch, ob es so funktioniert, wie man will. Ok, einerseits sollte bei Apple reichlich getestet werden, andererseits wenn bei 1000 Änderungen 2 Fehler passieren, dann ist das immer noch eine gute Quote.
0
Atelier 'et Lux'25.09.16 22:16
Die Stellungnahme von Apple ist untypisch. Ich finde sie zudem unglaubwürdig. Ein Versehen kann den genialen Köpfen kaum passieren. Das sind doch alles Profis und keine Praktikanten am Programmieren. Und die Verschlüsselung des Backups ist ja keine neue Funktion.
Na Hauptsache das Problem wird behoben und es gibt nicht noch mehr unentdeckte Fehler im Systemverbund iOS und iTunes.
0
torfdin25.09.16 22:28
macmuckel
Ich frage mich ja, wie so etwas versehentlich passiert.
...
MacRudi
Ich finde auch, dass so etwas nicht aus Versehen passiert. Es sei denn, man war gerade an der Stelle. ...
Aus eigener Erfahrung kenne ich das, dass wenn mehrere Entwickler (große Entwickleranzahl) an mehreren Stellen schrauben (programmieren), dann wird bei dem gewohnten Termindruck der Rest an Resource einfach mit 'reinkompiliert.

Wenn jetzt das für solche Gegebenheiten verwendete Versionierungssystem garantiert, sauber, ohne Spezial- und kurzfristige-Änderungs-Versionen, bei jedem Entwickler super-aktuell gepflegt wurde, klappt das auch fehlerfrei.

Nur weichen Menschen eben von Idealpfad gelegentlich ab - und schwups ist von irgendeinem Modul eine ältere Version im GM und final Release.

Getestet werden normalerweise selten die Module die seit Ewigkeiten problemlos unverändert laufen, sondern die neuen Module ...

Und plötzlich ist ein Fehler von vor x Versionen wieder im final Release.

Kommt vor, ist irgendwie normal.

Da finde ich jetzt keinen Grund Verschwörungstheorien draus zu basteln, geht mit einem der kommenden Unterversionen wieder weg.
immer locker bleiben - sag' ich, immer locker bleiben [Fanta 4]
0
matt.ludwig25.09.16 22:30
torfdin
macmuckel
Ich frage mich ja, wie so etwas versehentlich passiert.
...
MacRudi
Ich finde auch, dass so etwas nicht aus Versehen passiert. Es sei denn, man war gerade an der Stelle. ...
Aus eigener Erfahrung kenne ich das, dass wenn mehrere Entwickler (große Entwickleranzahl) an mehreren Stellen schrauben (programmieren), dann wird bei dem gewohnten Termindruck der Rest an Resource einfach mit 'reinkompiliert.

Wenn jetzt das für solche Gegebenheiten verwendete Versionierungssystem garantiert, sauber, ohne Spezial- und kurzfristige-Änderungs-Versionen, bei jedem Entwickler super-aktuell gepflegt wurde, klappt das auch fehlerfrei.

Nur weichen Menschen eben von Idealpfad gelegentlich ab - und schwups ist von irgendeinem Modul eine ältere Version im GM und final Release.

Getestet werden normalerweise selten die Module die seit Ewigkeiten problemlos unverändert laufen, sondern die neuen Module ...

Und plötzlich ist ein Fehler von vor x Versionen wieder im final Release.

Kommt vor, ist irgendwie normal.

Da finde ich jetzt keinen Grund Verschwörungstheorien draus zu basteln, geht mit einem der kommenden Unterversionen wieder weg.

Alles richtig. Ich gehe dennoch von Absicht aus.
0
PaulMuadDib25.09.16 22:39
Um was zu erreichen?
0
torfdin25.09.16 22:48
matt.ludwig
torfdin
...
Da finde ich jetzt keinen Grund Verschwörungstheorien draus zu basteln, geht mit einem der kommenden Unterversionen wieder weg.
Alles richtig. Ich gehe dennoch von Absicht aus.
Danke ; - Freilich. Steht jedem offen.

Ich glaube da nicht an Absicht, es gibt einfach zu viele andere, weniger öffentlich beleuchtete Stellen, in die Systeme einzusteigen ...
immer locker bleiben - sag' ich, immer locker bleiben [Fanta 4]
0
Lerchenzunge25.09.16 22:59
PaulMuadDib
Um was zu erreichen?

Na, ist doch klar: um seiner Verschwörungstheorie zu genügen. Warum sonst?
0
iGod25.09.16 23:34
Genau, alles Absicht und dann bricht Apple aufgrund des öffentlichen Drucks ein. Genauso, wie damals als sie Flash aufs iPad brachten, nachdem der öffentlich Druck zu stark wurde. Und genauso, wie in 8 Wochen das iPhone 7 mit Klinke in den Handel kommt, weil Apple vom öffentlichen Druck niedergerungen wird.
0
dan@mac
dan@mac26.09.16 01:26
Apple dachte eben dass keiner der Millionen User das merkt. Die haben sich schon so gefreut, dass sie unsere Backups jetzt noch schneller knacken können, und dann kommt so ein Spielverderber und verrät allen was er entdeckt hat. Und das schon ein paar Tage nach Release. Damit hat Apple nicht gerechnet. Da war der go to fail bug besser. Obwohl Apple damals auch schon ganz vergessen hatte dass der Cose Open Source ist.
0
PaulMuadDib26.09.16 06:34
Lerchenzunge
Na, ist doch klar: um seiner Verschwörungstheorie zu genügen. Warum sonst?
Das scheint leider für viele die einzige Erklärung zu sein. Selber denken ist offenbar immer weniger "in". Ich an Apples Stelle hätte einfach einen Generalschlüssel eingebaut.. Ganz ohne was nach außen zu ändern. Aber dann klappt das ja mit der VT nicht mehr.
0
Walter Plinge26.09.16 08:44
torfdin

Danke. Wer wegen eines solchen Fehlers von Absicht ausgeht, hat noch nie in größeren Teams (oder auch nur ein größeres Projekt) entwickelt. In meinem bisherigen Entwicklerleben ist es mir schon mehrfach passiert, dass Debugcode oder halbfertiger Code aus Versehen in den Trunk gerutscht ist, einfach weil man beim Commit oder Merge Fehler macht. Manchmal bemerkt man den Fehler sofort, manchmal erst nach Wochen, wenn aus dem Trunk womöglich bereits wieder eine Release-Version herausgebrancht wurde.

Der aktuelle Fehler beim Backup sieht mir ganz nach solch einem Fehler aus. Irgendein Entwickler experimentiert mit Verschlüsselungsalgorithmen oder Angriffszenarien, und hat beim CheckOn vergessen, den entsprechenden Code herauszunehmen. Oder es war eine halbfertige - eigentlich inaktive - Änderung, die durch ein anderes Commit (eines anderen Entwicklers) aktiviert wurde.

Da kann schlicht soviel schief gehen, dass es ziemlich unsinnig ist, hier von Absicht auszugehen, wenn Apple so schnell einen Fix in Aussicht stellt. Schließlich geht es ja hier auch um Apples Image bzgl. Sicherheit.
0
matt.ludwig26.09.16 09:04
Lerchenzunge
PaulMuadDib
Um was zu erreichen?

Na, ist doch klar: um seiner Verschwörungstheorie zu genügen. Warum sonst?
Natürlich, dafür bin ich ja schließlich bekannt.
0
matt.ludwig26.09.16 09:05
Walter Plinge
torfdinDanke. Wer wegen eines solchen Fehlers von Absicht ausgeht, hat noch nie in größeren Teams (oder auch nur ein größeres Projekt) entwickelt. In meinem bisherigen Entwicklerleben ist es mir schon mehrfach passiert, dass Debugcode oder halbfertiger Code aus Versehen in den Trunk gerutscht ist, einfach weil man beim Commit oder Merge Fehler macht. Manchmal bemerkt man den Fehler sofort, manchmal erst nach Wochen, wenn aus dem Trunk womöglich bereits wieder eine Release-Version herausgebrancht wurde.

Der aktuelle Fehler beim Backup sieht mir ganz nach solch einem Fehler aus. Irgendein Entwickler experimentiert mit Verschlüsselungsalgorithmen oder Angriffszenarien, und hat beim CheckOn vergessen, den entsprechenden Code herauszunehmen. Oder es war eine halbfertige - eigentlich inaktive - Änderung, die durch ein anderes Commit (eines anderen Entwicklers) aktiviert wurde.

Da kann schlicht soviel schief gehen, dass es ziemlich unsinnig ist, hier von Absicht auszugehen, wenn Apple so schnell einen Fix in Aussicht stellt. Schließlich geht es ja hier auch um Apples Image bzgl. Sicherheit.
Jo das ist wieder die Kehrseite die auch Sinn macht Aber es passt irgendwie zu den geknackten iPhone-Geschichten vor ein paar Monaten Aber ich muss meine Meinung sowieso zurückziehen, wusste nicht das es um iTunes-Backups geht.
0
epionier
epionier26.09.16 09:40
Ziemlich unsinnige Diskussion, da mangels konkreter Kenntnis des "Fehlers" man kaum ernsthaft diskutieren kann und letztlich bei dem Kenntnisstand beides in Betracht kommt.
0
iPat26.09.16 10:04
matt.Ludwig
"Aber ich muss meine Meinung sowieso zurückziehen, wusste nicht das es um iTunes-Backups geht."

Aber anderen fehlendes Mitdenken unterstellen...sorry aber damit hast du dich schon per se disqualifiziert...*kopfschüttel*
0
PaulMuadDib26.09.16 10:54
iPat
Aber anderen fehlendes Mitdenken unterstellen...sorry aber damit hast du dich schon per se disqualifiziert...*kopfschüttel*
Ich glaube, das war ich.
0
iPat26.09.16 11:12
matt.Ludwig
PaulMuadDib

Dann sorry ...trotz dessen, glaube ich nicht gleich an das Schlimmste und an Absicht überall und immer.
Was mich eher stutzig macht ist, dass bei Konkurrenzsystemen (Android, WinMobile etc.) nie groß so eine Diskussion geführt wird...wie ist es denn da mit Backups. Kann man die auch so machen wie unter iOS und iTunes und wenn ja, wie sind die verschlüsselt? Sind sie überhaupt verschlüsselt? Wenn ja, mit welcher Sicherheitsstufe etc. pp. ...oder ist dort eine Diskussion schon von vornherein Unsinn, weil eh alles offen wie ein Scheunentor ist?

Also ich glaube wir sind mit iOS und Co. bei Apple einfach nur zu sehr verwöhnt und wenn da mal was schief geht oder nicht gleich so klappt wie gedacht, ist die Hölle los. Bei anderen Systemen scheint mir, man ist schon prinzipiell in der Hölle Wenns bei Android wieder mal ne größere Sicherheitslücke gibt, kommt das m.M. nicht in der Tagesschau. Wobei es grad dort m.M. nach viel problematischer ist, schon allein wegen dem massiv größeren Marktanteil.
Ich will das aktuelle "Problem" bei Apple nicht schön reden aber ich glaube es ist einfach übertrieben...aber es klingt halt wahrscheinlich besser "Apple hat ein Sicherheitsproblem" als z.B. "Android ist ein Sicherheitsproblem schon prinzipiell" (etwas überspitzt, ich weiß...)
Auch die Akkuproblematik bei Samsung ist eigentlich medial durchaus noch moderat behandelt. Wenn das bei Apple passiert wäre (was ja nicht auszuschließen ist) wäre ja mit Sicherheit das Abend- und Morgenland medial dem Untergang geweiht...möchte mir nicht ausmalen, was da los wäre...
0
torfdin26.09.16 12:08
Das unter anderem von mir geäußerte ist natürlich nur Vermutung, wenngleich Indizien dafür sprechen.
Dass das dann auch noch in relativer zeitlicher Nähe zu „verzweifelten“ Entsperraktionen gewisser staatlicher Stellen passiert, ist schon irgendwie unglücklich gelaufen. (Murphy's law)
Apple gelobt ja Behebung.

Durchaus ungünstig macht sich aber auch bemerkbar, dass gerade Apple mit dem Thema Sicherheit (iOS und mac OS) im Fokus der Presse steht; der Erwartungsdruck ist hoch.

Bei anderen Systemen wie „Android“ ist dieser Erwartungsdruck deutlich geringer, man könnte sogar behaupten „Android“ sei eher als im Vergleich unsicherer bekannt.
Vergessen darf man aber auch nicht, dass es das „Android“ gar nicht gibt, Android wird von mehreren Herstellern an unterschiedliche Geräte angepasst.

Ein Software-Fehler muss da schon eklatant sein, um es in die Öffentlichkeit zu schaffen.
immer locker bleiben - sag' ich, immer locker bleiben [Fanta 4]
0
Lerchenzunge26.09.16 13:00
iPat
...
Was mich eher stutzig macht ist, dass bei Konkurrenzsystemen (Android, WinMobile etc.) nie groß so eine Diskussion geführt wird...wie ist es denn da mit Backups. Kann man die auch so machen wie unter iOS und iTunes und wenn ja, wie sind die verschlüsselt? Sind sie überhaupt verschlüsselt? Wenn ja, mit welcher Sicherheitsstufe etc. pp. ...oder ist dort eine Diskussion schon von vornherein Unsinn, weil eh alles offen wie ein Scheunentor ist?
...


Also: beim Scheintoten Windows Phone war es bis Win 8.1 so, dass Du lokal keine Backups erstellen kannst, sondern nur in der Microsoft Wolke.

Dein lokaler Datenspeicher ist zwar verschlüsselt. Aber laut Microsofts Privacy Policies wird der Schlüssel - natürlich aus Gründen der Sicherheit - in die Wolke übertragen. Man kann das nicht abschalten.

Und was da liegt, das ist - natürlich - nicht verschlüsselt.

Freut NSA und andere Us Behörden natürlich sehr. Insbesondere, weil sie dann auch leichter an deine Daten auf dem Gerät kommen - sie müssen es Dir nur abnehmen, und sich pro forma einen Gerichtsbeschluss besorgen - und das war's.

Man könnte nun rätseln, was die Gründe dafür sind.

Ganz klar ist aber: die Sicherheit des lokalen Gerätes, bei dem der Schlüssel vom Hersteller sich eine Kopie zieht, die verdient den Namen nur auf dem Papier.

Das kann ich dir über Microsofts Vorstellung von 'Backup', 'Verschlüsselung', 'Cloud' und Sicherheit sagen.

Ich fürchte, dass sich mit Win 10 daran nichts zum Besseren geändert hat. Die Privacy Policies sind aus Sicht des Nutzers eher verschlechtert worden, und ich glaube nicht, dass Microsoft freiwillig auf Daten verzichtet. Ihr neues Win 10 Geschäftskonzept basiert ja darauf.
0
RyanTedder27.09.16 08:48
Die Frage, wie lange es nun dauert ein Backup zu entschlüsseln wurde noch nicht geklärt, aber der Focus spricht schon wieder von einem Skandal und generell besteht bei jedem die Gefahr das jede Sekunde unsere Backups geknackt werden können 🙈
Hört sich natürlich auch schön bedrohlich an von "2500 mal mehr passwörter pro Sekunde" zu sprechen, ohne zu wissen was es letztlich für Folgen hat.
Das nächste mal wäre es ganz gut eine Antwort auf diese Frage direkt mitzuliefern.

Apple - Krasse Sicherheitslücke in iOS 10: Das rät Apple seinen Nutzern

http://focus.de/5991684
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.