Forensik-Tool soll iCloud-Backups ohne Passwort herunterladen können

Mit dem teuren Forensik-Werkzeug "Phone Password Breaker" ist es schon seit längerem möglich, iCloud-Backups von iOS-Geräten herunterzuladen, um diese dann zu analysieren und gegebenenfalls über Brute Force und andere Methoden deren Verschlüsselungspasswort zu knacken. Der russische Hersteller Elcomsoft hat der Anwendung, die an Ermittler verkauft wird, nun eine weitere Funktion gegeben: Die App soll jetzt angeblich auch dann auf Backups in der iCloud zugreifen können, wenn für den iCloud-Account kein Passwort vorliegt.

Möglich ist das laut Angaben der Firma, indem ein Authentifizierungs-Token vom (durch den Ermittler nutzbaren) Rechner des Verdächtigen extrahiert wird. Das Token legt Apple bei in iCloud eingeloggten Nutzern automatisch auf der Festplatte ab. Ein Kommandozeilenanwendung, das Elcomsoft bei "Phone Password Breaker" mitliefert, kann es auffinden, was unter Windows und OS X funktionieren soll. Das Token lässt sich dann wiederum in die Anwendung einsetzen, die daraufhin den Download des iCloud-Backup anstößt.

Laut Elcomsoft ist das Token vorhanden, solange der Nutzer bei iCloud eingeloggt ist. Beim Logout über das iCloud-Kontrollfeld unter Windows oder OS X werde es dagegen gelöscht. Die Firma weiß laut eigenen Angaben nicht, wie lange das Token vorhält, ein Timeout könne aber "nach einer Weile" erfolgen. Invalidiert wird es zudem, sobald das Passwort vom Nutzer geändert wird.

Das Token soll sich von iCloud-Rechner zu iCloud-Rechner unterscheiden, verschiedene Tokens aber gleichzeitig nutzbar sein. Elcomsoft arbeitet zudem an einer Methode, auch durch einen einfachen iCloud-Logout gelöschte Tokens möglicherweise wiederherzustellen. Das Token wird von "Phone Password Breaker" in Form einer PLIST-Datei extrahiert. (bsc)