Geschwächte iTunes-Backup-Verschlüsselung: Apple stellt Fix in Aussicht

Apple will ein "Problem bei der Verschlüsselungsstärke" von lokalen iTunes-Backups mit einem "kommenden Sicherheits-Update" beseitigen, wie das Unternehmen gegenüber Forbes in Aussicht stellt. Eine Sicherheitsfirma hatte zuvor bekanntgegeben, dass es durch eine Schwachstelle bei iTunes-Backups von iOS 10 deutlich leichter geworden sei, Brute-Force-Angriffe auf das zur Verschlüsselung genutzte Passwort duchzuführen.

Bei iTunes-Backups von iOS 9 habe man rein CPU-basiert rund 2400 Passwörter pro Sekunde mit einem Core-i5-Prozessor ausprobieren können, so der Forensik-Tool-Hersteller Elcomsoft. Der schwächere Verifizierungsmechanismus in iOS 10, der parallel zur älteren Methode existiere, erlaube nun das Testen von 6 Millionen Passwortkombinationen pro Sekunde.

Statt der zuvor genutzten Hashfunktion PBKDF2 mit 10.000 Durchgängen habe Apple mit iOS 10 plötzlich auf SHA256 mit nur einem einzelnen Durchgang zum Schutz des Passwortes umgestellt, merkt ein Sicherheitsanalyst an..

Apple empfiehlt, Zugang zu Computer zu schützen

Apple betonte, dass das Problem ausschließlich die lokal mit iTunes auf macOS oder Windows angelegten Backups betrifft – nicht aber die iPhone- und iPad-Datensicherung mit iCloud. Der iPhone-Hersteller empfiehlt Nutzern, ihren Mac oder Windows-PC mit einem starken Passwort zu schützen, damit nur autorisierte Nutzer Zugriff haben. Zusätzlichen Schutz biete die Festplattenverschlüsselung FileVault, so Apple.

Zugriff auf Schlüsselbund möglich

Das Knacken der iTunes-Backup-Verschlüsselung räumt einem Angreifer oder Strafverfolgungsbehörden einen erheblichen Vorteil ein: Sie können dadurch nämlich nicht nur auf sämtliche Daten des Backups zugreifen, sondern auch die Zugangsdaten zu allen Accounts des Nutzers auslesen, die im Schlüsselbund gespeichert sind. Voraussetzung ist, dass Zugriff auf das lokale Backup oder das (entsperrte) iOS-Gerät besteht – und das vom Nutzer in iTunes vergebene Passwort tatsächlich geknackt wird. (lbe)