Forensiker: Sicherheit von iOS 11 hängt an seidenem Faden

Apple hat in iOS 11 zwei Änderungen vorgenommen, die das Zurücksetzen wichtiger Passwörter allein durch Kenntnis des Geräte-Codes ermöglichen. Damit sei die Sicherheit des Betriebssystem erheblich geschwächt worden, da es nun keine zusätzlichen Schutzschichten mehr aufweist, bemängelt der Forensik-Software-Hersteller Elcomsoft – es sei eine “Horror Story”.

Mit Kenntnis des Geräte-Codes, der möglicherweise nur aus einer vierstelligen PIN besteht, kann ein Angreifer – der in Besitz des iPhones und iPads ist – nun praktisch alle Daten auslesen sowie den iCloud-Account trotz Zwei-Faktor-Authentifizierung übernehmen und den Nutzer damit zugleich aus allen anderen damit verknüpften Geräten aussperren.

Verschlüsseltes iTunes-Backup bringt Zugriff auf alle Passwörter

Mit iOS 11 ist es erstmals möglich, das Passwort für verschlüsselte iTunes-Backups mit dem Geräte-Code zurückzusetzen, das war bislang unmöglich. Ein lokaler Angreifer, der den Code kennt, hat so die Möglichkeit, ein neues verschlüsseltes Backup anzulegen – und aus diesem sämtliche Informationen auszulesen. Dies umfasst auch den Schlüsselbund, in dem alle Zugangsdaten und Passwörter des Nutzers hinterlegt sind, wie Elcomsoft anmerkt.

Bei iCloud-Accounts, die durch Apples Zwei-Faktor-Authentifizierung geschützt sind, ist es mit iOS 11 zum ersten Mal möglich, das Apple-ID-Passwort allein mit Hilfe des Geräte-Codes von einem bereits autorisierten Gerät aus zurückzusetzen – ohne dafür das alte Passwort kennen zu müssen. Ein lokaler Angreifer, der den Code kennt, kann dadurch den iCloud-Account des Geräteeigentümers problemlos übernehmen und diesen anschließend über Apples Fernwartungs-Dienst “Mein iPhone suchen” aus allen verknüpften Geräten aussperren.

Komfortabler für Nutzer – schlechter für die Sicherheit

Apple hat diese Änderungen offenbar durchgeführt, um es für Nutzer einfacher zu machen, wieder an ihre Daten zu kommen – ihr Passwort für das verschlüsselte iTunes-Backup dürften schon zahlreiche Nutzer vergessen haben. Dadurch wurden aber zugleich bislang bestehende zusätzliche Schutzvorkehrungen ausgehebelt. Der Geräte-Code wird mit iOS 11 somit noch wichtiger als zuvor schon: Nutzer sollten – wie Apple seit längerem rät – mindestens eine sechsstellige PIN oder gleich ein alphanumerisches Passwort vergeben.

Es sei völlig unverständlich, dass Apple die zuvor “perfekt erscheinende Balance aus Sicherheit und Komfort” mit iOS 11 plötzlich aufgegeben hat, meint Elcomsoft. Nicht jeder habe Apples “perfektes System” gemocht, Nutzer hätten “geheult”, die Polizei und das FBI hätten sich beschwert – ”und Apple gab auf”. (lbe)