iOS-Sicherheit: Apples Black-Hat-Präsentation nennt Details
Die Präsentationsfolien von Apples Sicherheitschef gehen auf mehrere Sicherheitstechniken rund um iPhone und iPad ein, darunter wichtige Synchronisationsdienste wie die Passwortverwaltung "iCloud-Schlüsselbund".
Der Vortrag von Apples Sicherheitschef Ivan Krstic auf der diesjährigen Konferenz Black Hat in Las Vegas lässt sich inzwischen in Gestalt der Präsentationsfolien einsehen, ein Videomitschnitt liegt bislang nicht vor. Krstic geht zu Beginn kurz darauf ein, dass Apple die Kernel-Caches von iOS 10 nun im Rahmen einer Leistungsoptimierung unverschlüsselt bereitstellt. Bei der Verschlüsselung von Nutzerdaten ergebe sich daraus keine Änderung, betont der Sicherheitschef des Konzerns.
Zu den weiteren Themen der Präsentation zählt ein in iOS 10 neuer "JIT-Hardening-Mechanismus", der es Angreifer erschweren soll, Browser-Schwachstellen von Safari auszunutzen. Details nennt Krstic auch zur Secure Enclave von Apples A-Chipreihe, der eine sichere Umgebung für die "Handhabung kryptographischen Materials" bieten soll.
Sichere Synchronisation von Nutzer-Geheimnissen
Ausführlich widmet sich die Präsentation zudem der Absicherung von Synchronisationsdiensten. Ziel sei hier, dass die geheimen Daten des Nutzers – etwa in der Passwortverwaltung iCloud-Schlüsselbund – von starken kryptographischen Schlüsseln geschützt sind und man dennoch in der Lage ist, die Daten wiederherzustellen, selbst wenn alle Geräte verloren gehen.
Die Daten seien derart geschützt, dass Apple nicht darauf zugreifen kann, bekräftigt Krstic – dafür komme ein vom Nutzer vergebener "iCloud Security Code" zum Einsatz, der dem Konzern nicht bekannt sei. Das iCloud-Server-Backend sei zudem nicht in einer privilegierten Position, um einen Brute-Force-Angriff durchzuführen.
iCloud-Backups nicht vor Apple geschützt
Derzeit sind nur wenige Bereiche von iCloud auf diese Weise geschützt: Apple ist etwa in der Lage, auf iCloud-Backups zuzugreifen – und damit praktisch sämtliche Daten eines Nutzers, die auf richterliche Anordnung hin mitunter auch an Strafverfolger ausgehändigt werden. Seit dem öffentlichen Streit mit dem FBI um die Entsperrung eines iPhones wird allerdings vermutet, dass Apple alle iCloud-Daten so verschlüsseln will, dass das Unternehmen keinen Zugriffsmöglichkeit mehr hat, der iCloud-Schlüsselbund könnte dafür als Vorbild dienen.
Wie bereits bekannt, stellte Krstic am Ende seines Vortrages außerdem Apples Bug-Bounty-Programm vor, dass Sicherheitsforscher für das Melden von schweren Schwachstellen entlohnen soll. (lbe)
