iPhone-Sperre nahezu nutzlos

Die Code-Sperre von iPhones und iPads lässt sich einfach umgehen. Damit sind für einen zufälligen Finder oder Dieb alle Daten frei zugänglich – einschließlich der dort gespeicherten Passwörter.

In Pocket speichern vorlesen Druckansicht 489 Kommentare lesen
Lesezeit: 2 Min.

Die Code-Sperre von iPhones und iPads lässt sich einfach umgehen. Damit sind für einen zufälligen Finder oder Dieb alle Daten frei zugänglich. Das sind nicht nur direkt zugängliche Dinge wie E-Mails, Kontakte und SMS, sondern unter anderem auch Passwörter für Mail-Zugang, VPNs oder WLAN-Netze.

Für einen Artikel in c't hat heise Security die Sicherheitsfunktionen des iPhones analysiert. Das Resultat war, dass sich alle Sperren relativ leicht mit kostenlos im Internet verfügbaren Tools umgehen lassen. Deren Funktionsprinzip beruht auf einem modifizierten Jailbreak, der ein speziell angepasstes Image auf dem Gerät startet. Bei dem sind dann nicht nur Sicherheitsvorkehrungen des Betriebssystems außer Kraft gesetzt, sondern auch zusätzliche Tools zum Ausforschen des Systems installiert. Ein solches Tool kann dann etwa den Passcode knacken, indem es alle Kombinationen durchprobiert. Es kann auch auf speziell geschützte Bereiche wie die Keychain zugreifen, in der das System und Apps Passwörter ablegen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Firmen wie Elcomsoft bieten derartige Tools für Strafverfolgungsbehörden an. Aber die frei im Internet verfügbaren Tools leisten im Wesentlichen das gleiche. So gelang es heise Security damit, einen Passcode in wenigen Minuten zu knacken und alle Daten zu kopieren – einschließlich der Passwörter für diverse WLANs, E-Mail, VPN und die Online-Banking-App iControl. Schutz für einen Teil der Daten bietet zwar die Option, einen längeren Pass-Code zu verwenden, was die Knackzeit auf Monate oder sogar Jahre anwachsen lässt. Allerdings ist die Eingabe so unbequem, dass so gut wie niemand diese Möglichkeit nutzt.

Das grundlegende Problem ist auch nicht der vierstellige Passcode; der würde im Prinzip durchaus genügen. Schließlich schützt auch EC-Karten nur eine PIN aus vier Ziffern. Die Details zu den Sicherheitsmechanismen von iOS und wie sie sich umgehen lassen, beschreibt ein Artikel in c't 15/11, die Abonnenten am Wochenende erhalten. (ju)