Bericht: iPhone-Verschlüsselung ausgehebelt, fast beliebiger Zugriff möglich, Ermittlungsbehörden decken sich ein

Was sich vor wenigen Monaten angedeutet hatte, scheint nun Realität geworden zu sein - zumindest wenn es nach einem aktuellen Bericht geht. Demnach ist es Polizeistationen in den USA nun landesweit zur Option geworden, in iPhones einzubrechen und an die Daten zu gelangen. Möglich macht dies eine spezielle Box namens GrayKey (wir berichteten: ). Diese überträgt eine spezielle Software an das iPhone und kann anschließend beliebig viele PIN-Kombinationen durchprobieren. Nach rund drei Tagen soll auch ein per sechstelligem Code gesperrtes iPhone entsperrt sein. Sobald GrayKey den Code kennt, erfolgt der nächste Schritt, nämlich die Extraktion der Daten. Nachdem dies erfolgt ist, bedarf es noch weiterer Software, um mit den gewonnenen Nutzerdaten etwas anfangen zu können. Jetzt heißt es, dass Strafverfolgungsbehörden im größeren Stile GrayKey-Boxen einkauften. Während die Politik noch immer darüber diskutiert, ob Vollverschlüsselung verboten sein sollte, werden somit Fakten geschaffen.


Behörden können jetzt iPhones entschlüsseln...
Aus offiziellen Unterlagen geht hervor, dass Geheimdienste und Behörden entweder bereits zahlreiche Boxen erwarben oder zumindest konkrete Kaufabsichten hegen. Auch die DEA (Drug Enforcement Administration) erwägt derzeit, GrayKey-Kunde zu werden. Der Preis einer Box mit unlimitierter Funktionalität liegt bei rund 30.000 Dollar. Den Unterlagen des Anbieters zufolge lassen sich damit sämtliche iPhones knacken - sogar wenn diese mit iOS 11 laufen. Die vieldiskutierte Verschlüsselung der Nutzerdaten lässt sich damit aufheben. Allerdings dürfen Ermittler nicht willkürlich in die iPhones von Verdächtigen eindringen. Noch immer ist dazu ein richterlicher Beschluss erforderlich.



...aber eben nicht nur Behörden
Sehr viel kritischer an der Sache ist ein ganz anderer Aspekt: GrayKey steht eben nicht nur für Behörden, sondern für jeden Kaufinteressenten zur Verfügung. Auch Hacker haben damit erstmals seit Jahren die Möglichkeit, mit relativ wenig Aufwand in vollverschlüsselte Smartphones einzubrechen. Apple weigerte sich stets medienwirksam, Hintertüren in eigene Produkte einbauen. Die Argumentation lautete, solche würden dann auch Hackern einer Einladung gleichen. Für das FBI bedeutete diese Haltung, viele Millionen Dollar in Equipment von Spezialanbietern investieren zu müssen - ohne eine Garantie zu haben, tatsächlich an gewünschte Daten zu gelangen.


Es bleibt nun abzuwarten, ob eine Reaktion von Apple erfolgt - und wie diese aussieht. Offensichtlich nutzt GrayKey eine konzeptionelle Schwachstelle aus. Würde man einfach nur PIN-Codes manuell durchprobieren, so wäre das iPhone entweder sehr schnell für lange Zeit stillgelegt oder je nach Einstellung sogar gelöscht. Genau diesen Schutz umgeht GrayKey aber. Man darf auf jeden Fall gespannt sein, ob Apple per simplem Software-Update nachlegt oder ob es dazu mehr bedarf. An der generellen Argumentation hat sich zumindest nichts geändert: Können Ermittler frei auf Nutzerdaten zugreifen, dann auch auch Hacker, totalitäre Regimes und andere Angreifer.

Kommentare

aMacUser
aMacUser13.04.18 09:40
Ich werde lachen, wenn Apple diese Sicherheitslücke, die hier offensichtlich ausgenutzt wird, schließt und die ganzen Behörden dadurch Millionen an Euro und Dollar in Elektroschrott investiert haben.
Auf der anderen Seite warte ich schon auf die Verschwörungstheorien, dass die Boxen eigentlich von Apple selbst kommen.
Das gegenseitige Köpfe einschlagen kann beginnen
+22
tobias.reichert13.04.18 09:45
Apple sollte das schleunigst zumachen, wenn man gemein wäre, lässt man alle noch schon sich damit eindecken.
+7
gegy
gegy13.04.18 09:47
aMacUser
Ich werde lachen, wenn Apple diese Sicherheitslücke, die hier offensichtlich ausgenutzt wird, schließt und die ganzen Behörden dadurch Millionen an Euro und Dollar in Elektroschrott investiert haben.

Genau daran dachte ich auch gleich. Da wird das Steuergeld wieder in den Kreislauf geführt.
Den Unterlagen des Anbieters zufolge lassen sich damit sämtliche iPhones knacken
Wenn ich aber eben kein Nummerischen Key habe, sondern ein längeres Passwort? Ich denke da haben sie keine Chance.
+10
Mia
Mia13.04.18 09:54
Es gab davor auch schon Lösungen, um gesperrte iPhone Modelle der aktuellen Generation zu knacken.

Einen kommerziellen Vertrieb gab es halt nicht.
0
deus-ex13.04.18 09:58
Das Problem an der Sache. Apple scheint die Schwachstelle selbst nicht zu kenn. Und der Finder der Stelle wird sie Apple wohl nicht mitteilen.
Einige Chance. Selbst solch eine Box anschaffen und Reverse Engineering machen.

Ansonsten mein Tipp. 8 - 10 stellige Codes verwenden. Dann dauert es wesentlich länger
+4
CAPTN HIRNI
CAPTN HIRNI13.04.18 10:03
Sehr viel kritischer an der Sache ist ein ganz anderer Aspekt: GrayKey steht eben nicht nur für Behörden, sondern für jeden Kaufinteressenten zur Verfügung.
Ich bin immer wieder erstaunt, welch blindes Vertrauen "Behörden" offenbar genießen. Man scheint tatsächlich zu unterscheiden, ob der Geld- oder Datenklau institutionalisiert ist oder nicht.
Tim Cook muss weg. Make Apple Great Again.
+6
BlueSun
BlueSun13.04.18 10:04
Würde auch sagen das der Wechsel auf ein >=8stelliges Passwort damit Pflicht wird... dank Fingerabdruck oder Gesichtserkennung kommt man ja eh nur selten in die Verlegenheit das eingeben zu müssen, da machen ein paar Zeichen mehr kaum was aus...
Um ehrlich zu sein denke ich schon lange das Pincodes ausgedient haben... aber man nutzt sie halt gewohnheitsgemäß... und mit einer Beschränkung der Versuche scheinbar sicher... aber wenn diese Beschränkung ausgehebelt wird, dann steht das Tor unnötig weit offen.
0
Rocco6913.04.18 10:11
Soll Apple den Laden einfach kaufen und fertig.
-8
Perlensucher
Perlensucher13.04.18 10:15
Wozu, dieses Problem ist sicherlich mit einem Update zu beheben. Die boxen werden unbrauchbar. Wir alle sollten uns verinnerlichen, dass es keine 100% Sicherheit gibt und dass solche Fälle immer wieder vorkommen werden.

macOS hatte auch kürzlich eine "admin ohne Passwort" Lücke...

PS: Code auf 12-stellig umgestellt - fertig!
+1
iGod13.04.18 10:16
Das iPhone sollte erkennen, wenn so eine Box/Software zum Einsatz kommt und direkt alles löschen. 🧐

Am besten einen alphabetischen Code benutzen.
-1
BigLebowski
BigLebowski13.04.18 10:19
Apple sollte einfach alphanumerische Passwörter mit Sonderzeichen erlauben

Ich sehe jetzt schon iPhone User im Apple Store:
Ich habe mein 10 stelligen Code mit groß und klein Buchstaben und Sonderzeichen vergessen 😁

Kann man eigentlich iPhone zurück setzen mit der Apple ID wenn man den Code vergisst?
-1
rene204
rene20413.04.18 10:20
BigLebowski
Kann man eigentlich iPhone zurück setzen mit der Apple ID wenn man den Code vergisst?
Ja, kauf eine GrayKeyBox.


BigLebowski
Ich sehe jetzt schon iPhone User im Apple Store:
Ich habe mein 10 stelligen Code mit groß und klein Buchstaben und Sonderzeichen vergessen 😁

Apple verkauft dann auch diese Boxen...
Gelassenheit und Gesundheit.. ist das wichtigste...
+5
mactechh13.04.18 10:25
Kann man eigentlich iPhone zurück setzen mit der Apple ID wenn man den Code vergisst?
Ja. Einfach als neues iPhone einrichten, und dann mit deiner Apple-ID aus dem Backup wiederherstellen.
-3
Zw31St31n13.04.18 10:25
BigLebowski
Apple sollte einfach alphanumerische Passwörter mit Sonderzeichen erlauben

Geht und mache ich bereits seit dem iPhone 5s so. Nachdem TouchID herausgekommen ist, muss man es ja eh nicht mehr so oft tippen.
Meine Passwörter haben in der Regel zwischen 30-40 Zeichen.
+3
Wurzenberger
Wurzenberger13.04.18 10:31
Man kann wohl davon ausgehen dass auch Apple ein paar dieser Boxen gekauft hat.
+4
Embrace13.04.18 10:39
Mal wieder ein Anlass folgendes zu posten:


Ich bin ein Fan von Wörterbuchpasswörtern. Sind lang (und damit schwierig zu erraten) und leicht einzugeben (und auch einfach zu merken).
+15
gegy
gegy13.04.18 10:48
Embrace
Mal wieder ein Anlass folgendes zu posten:


Ich bin ein Fan von Wörterbuchpasswörtern. Sind lang und leicht einzugeben.
Aber mit einer Wörterbuch Attacke eigentlich leicht zu knacken.
+2
Embrace13.04.18 10:55
Unterschiedliche Trennzeichen zwischen den Wörtern, Großschreibung einzelner Buchstaben, Zahl oder Sonderzeichen zusätzlich einbauen. Trotz dieser Maßnahmen immer noch einfach zu merken und wesentlich schwieriger zu knacken.

Und so einfach ist ein Wörterbuchangriff nun auch nicht.
+2
Rosember13.04.18 10:58
Ich verwende kurze Sätze ohne Leerzeichen mit persönlichem Bezug zu den jeweiligen Geräten/Programmen/Seiten. Die haben oft >20 Zeichen, fallen mir oft sogar intuitiv wieder ein, wenn ich sie tatsächlich selbst erinnern muss und dürften aufgrund von einfließenden individuellen Elementen aus meiner Lebensgeschichte nicht zu erraten sein.
Beispiel: Torbenrutschtfulchtbalnass (kein Schreibfehler(!) - zusätzlich dann je nach Bedarf noch Ziffern und Sonderzeichen) könnte z.B. der Zugang zu meinem Freibad-Account sein. Viel Spaß beim knacken!
0
Cliff the DAU
Cliff the DAU13.04.18 10:58
iGod
Das iPhone sollte erkennen, wenn so eine Box/Software zum Einsatz kommt und direkt alles löschen. 🧐

Gute Idee. Das dürfte von Apple einfacher umzusetzen sein.
„Es gibt keine Nationalstaaten mehr. Es gibt nur noch die Menschheit und ihre Kolonien im Weltraum.“
0
OpDraht
OpDraht13.04.18 11:01
Die Box dürfte an Behörden mit einem Updateservice vertrieben werden. Schliesst Apple den Zugang dürfte sich ein neuer finden lassen und die Box erhält ein Update.
0
Cliff the DAU
Cliff the DAU13.04.18 11:02
Rosember
Ich verwende kurze Sätze ohne Leerzeichen mit persönlichem Bezug

WuhwillstedoiHaahihu

Wers ins Hochdeutsche übersetzen kann bekommt von mir ein 😄
„Es gibt keine Nationalstaaten mehr. Es gibt nur noch die Menschheit und ihre Kolonien im Weltraum.“
0
jogoto13.04.18 11:14
iGod
Das iPhone sollte erkennen, wenn so eine Box/Software zum Einsatz kommt und direkt alles löschen. 🧐
Sollte keine Problem sein:
Dieses Kabel oder Zubehör ist nicht zertifiziert und funktioniert nicht mit diesem iPhone.


OpDraht
Die Box dürfte an Behörden mit einem Updateservice vertrieben werden. Schliesst Apple den Zugang dürfte sich ein neuer finden lassen und die Box erhält ein Update.
Wenn Apple so eine Box erwirbt, bekommen sie die Updates auch.
+5
schaudi
schaudi13.04.18 11:16
OpDraht
Die Box dürfte an Behörden mit einem Updateservice vertrieben werden. Schliesst Apple den Zugang dürfte sich ein neuer finden lassen und die Box erhält ein Update.

Genau, nachdem es viele Jahre gedauert hat überhaupt eine zu finden die man nutzen kann, geht es dann jetzt natürlich ratzefatz gel Und dass diese Box wohlmöglich nicht nur irgendein beliebiger Chip mit Updatebarer Bruteforce Software ist, ist auch zu weit hergeholt!?

-1
pünktchen
pünktchen13.04.18 11:18
Ein sechstelliger Zahlencode ist einfach ein lausiges Passwort.
+5
Steph@n
Steph@n13.04.18 11:24
Ich find das gut das sowas immer schön raus posaunt wird, dann kann wenigstens was dagegen unternommen werden
+2
Pixelmeister13.04.18 11:30
Radetzky
Ich frage mich schon lange, warum Apple denn keine längeren PW zulässt??
Tun sie doch. Du musst es nur nutzen.
+4
Niederbayern
Niederbayern13.04.18 11:30
BigLebowski
Apple sollte einfach alphanumerische Passwörter mit Sonderzeichen erlauben
Einstellungen-Touch ID&Code-Code ändern-Codeoptionen😉
+3
Retrax13.04.18 11:32
OpDraht
Die Box dürfte an Behörden mit einem Updateservice vertrieben werden. Schliesst Apple den Zugang dürfte sich ein neuer finden lassen und die Box erhält ein Update.
So eine Box fällt natürlich nicht unter den Digital Millennium Copyright Act (DMCA).

Hinter dem System müssen ja richtig gute Cracks sitzen welche iOS sowie die iHardware in- und auswendig kennen.

Ist sowas überhaupt möglich ohne vorher bei Apple als Entwickler (und dort in den Tiefen von iOS) beschäftigt gewesen zu sein?

Für mich sind solche Typen schlicht Genies - ohne das jetzt moralisch zu bewerten.

Schlicht die Tatsache eine solch tiefgehende Systemkenntnis zu besitzen lässt mich staunend hinterherschauen...
+1
aMacUser
aMacUser13.04.18 11:34
jogoto
iGod
Das iPhone sollte erkennen, wenn so eine Box/Software zum Einsatz kommt und direkt alles löschen. 🧐
Sollte keine Problem sein:
Dieses Kabel oder Zubehör ist nicht zertifiziert und funktioniert nicht mit diesem iPhone.
Die "Authentifizierung" des Zubehörs findet vorne im Lightning-Stecker statt. Da ist ein kleiner Chip integriert. Da reicht es, irgendwo ein billiges zertifiziertes Kabel zu kaufen und in die Box einzubauen.
+3
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen