FAQ: Lässt sich ein iPhone mit dem Elcomsoft-Tool wirklich knacken?
Der Forensik-Tool-Hersteller Elcomsoft verspricht, einfach iPhone-Daten auslesen zu können und beunruhigt so Nutzer. Ganz so einfach ist es allerdings nicht.
Frage: Elcomsoft verspricht, dass sich mit dem iOS Forensic Toolkit jedes Apple-Gerät entschlüsseln lässt. Selbst mit aktuellsten Updates würde ein beschlagnahmtes oder gestohlenes Smartphone irgendwann knackbar, weil dann Sicherheitsupdates unterbleiben. Was kann ich tun, um es Elcomsoft und Co. schwerer zu machen?
Mac & i antwortet: Elcomsoft bietet vor allem Forensik-Software an, deren wesentliche Aufgabe es ist, Daten von einem entsperrten Gerät zu extrahieren und für eine systematische Analyse aufzubereiten. Außerdem kann es unverschlüsselte Backups sowie unter bestimmten Voraussetzungen Daten eines gesperrten Geräts auslesen. Hier muss das Tool jedoch auf einem System laufen, dem Sie beim ersten Kontakt die Erlaubnis erteilt haben, auf das iPhone zuzugreifen, etwa um Backups zu erstellen ("Diesem Computer vertrauen").
Das ist alles kein Hexenwerk und auch nicht überraschend. Schließlich sind die Daten im entsperrten Zustand direkt zugänglich beziehungsweise ist ein möglicher Datenzugriff durch das ausgesprochene Vertrauen erwünscht. Elcomsoft schafft es nur immer wieder, das spektakulär zu präsentieren und damit Schlagzeilen zu machen.
Elcomsoft erwähnt dies übrigens auch im Kleingedruckten: "No jailbreak: Logical acquisition, shared files and media extraction for devices running versions of iOS without a jailbreak. Device must be unlocked with passcode, Touch ID or lockdown record."
Der Begriff "lockdown record" (oder auch "pairing record") bezeichnet einen gültigen Vertrauensschlüssel. Wenn jemand Ihr gesperrtes iPhone an einen bislang unbekannten Computer anschließt, besteht mit der Software kein Zugriff etwa auf E-Mails, Kontakte und so weiter. Lediglich verhältnismäßig harmlose Daten zum Gerät lassen sich auslesen. Die separat verkaufte Fähigkeit, iPhones "zu knacken", beschränkt sich auf sehr alte Geräte mit nicht patchbarer Firmware (also iPhone 4 und 5).
Wenn das Gerät gesperrt ist, kein (lesbares) Backup existiert, es keinen Jailbreak gibt und dem Computer mit dem Elcomsoft-Tool nicht vertraut wurde, ist es weitgehend machtlos. Um sich optimal zu schützen, verwenden Sie einen Passcode mit mindestens acht Ziffern, aktivieren Face ID / Touch ID mit kurzer Verzögerung bis zur automatischen Sperre und machen lokale, verschlüsselte Backups. Ferner bietet der neue Blockierungsmodus (Lockdown) zusätzlichen Schutz vor gezielten Angriffen.
Pairing Records auf iPhone zurücksetzen
Wissen Sie nicht mehr, welchen Computern Ihr iPhone vertraut, können Sie sämtliche Vertrauenszertifikate für ungültig erklären. Öffnen Sie am iPhone die Einstellung "Allgemein > iPhone übertragen/zurücksetzen", tippen auf "Zurücksetzen" und wählen dann "Standort & Datenschutz".
Nach Eingabe des Gerätecodes müssen Sie jedem Mac oder PC erneut vertrauen, sobald Sie das iPhone anschließen. Beachten Sie, dass Sie nach der Prozedur etwa in der Corona-Warn-App die Risiko-Ermittlung wieder aktivieren sowie alle Standortanfragen durch Apps und Widgets neu bestätigen müssen. Alternativ können Sie auch die "Netzwerkeinstellungen" zurücksetzen. Dann müssen Sie zwar keine Standortanfragen beantworten, aber die Zugangsdaten zu Ihrem WLAN neu eingeben.
macOS speichert die sogenannten Pairing Records übrigens im Ordner /var/db/lockdown. Auf einem modernen System kann man jedoch selbst mit Festplattenvollzugriff und dem sudo-Kommando nicht mehr darauf zugreifen, um einem einzelnen Mac gezielt das Vertrauen zu entziehen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)
