Mit Hilfe einer Forensik-Software soll es erstmals möglich sein, sämtliche im iOS-Schlüsselbund gespeicherten Passwörter sowie weitere Daten wie etwa Encryption-Keys und Authentifizierungs-Tokens auszulesen – unter spezifischen Voraussetzungen. Eine Methode zur Umgehung von Apples "Secure Enclave" ermögliche es nun, den kompletten Inhalt des Schlüsselbundes zu extrahieren, wie der russische Software-Hersteller Elcomsoft mitteilte.
Anzeige
Methode soll Apples Secure Enclave umgehen
Details zu der Umgehungsmethode wurden nicht genannt. Die Secure Enclave, der in neueren iPhones und iPads integrierter Koprozessor für Verschlüsselungsaufgaben, wurde nicht geknackt, betont Elcomsoft, sondern das Unternehmen habe einen anderen Weg gefunden, um die verschlüsselten Inhalte auszulesen.
Die Firma hat bereits eine neue Version des hauseigenen Forensik-Tools iOS Forensic Toolkit veröffentlicht, die diese Fähigkeit mitbringen soll: Selbst Schlüsselbundeinträge mit dem höchsten Schutzgrad "This Device only" lassen sich so einsehen, betont Elcomsoft – dies sei bislang nicht möglich gewesen, auch nicht nach einem Jailbreak des iPhones. Die This-Device-only-Einträge können ausschließlich auf dem Gerät selbst entschlüsselt werden, sie sind nicht Teil des Backups.
Auslesen des Schlüsselbundes nur unter vielen Voraussetzungen
Auch Schlüsselbundeinträge mit dem höchsten Schutzgrad soll das Tool auslesen.
(Bild: Elcomsoft)
Ein Knacken des Schlüsselbundes ist allerdings nur unter bestimmten Voraussetzungen möglich, wie Elcomsoft einräumt.
Anzeige
Dazu gehört neben dem physischen Besitz des iPhones auch die Kenntnis des Gerätecodes sowie ein Jailbreak. Öffentlich verfügbar ist dieser bislang nur für iOS bis Version 11.1.2, ein Jailbreak für iOS 11.3.1 dürfte allerdings in Kürze folgen. Aktuell ist inzwischen bereits iOS 11.4.
Den Gerätecode des Nutzers kann das Forensik-Tool nicht knacken. Es gebe derzeit zwei andere Firmen, die derartiges anbieten, schreibt Elcomsoft in Anspielung auf die iPhone-Unlock-Box GrayKey und eine Dienstleistung der Firma Cellebrite – beide sind offenbar in der Lage Brute-Force-Angriffe durchzuführen, die zumindest eine vier- oder sechsstellige Zahlenkombination in überschaubarer Zeit ermitteln können. Mit iOS 11.4.1 und iOS 12 will Apple diesen Angriffsvektor durch den neuen USB Restricted Mode unterbinden: Der Lightning-Anschluss blockiert dann die Datenverbindung, wenn der Nutzer seinen Code für eine Stunde nicht mehr eingegeben hat.
(lbe)
Nur für kurze Zeit: heise+ 6 Monate mit 50 % Rabatt testen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.1/2 Jahr zum halben Preis: heise+ 6 Monate mit 50 % Rabatt testen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur für kurze Zeit für 1,49 € pro Woche!
