Apple verbessert iPhone-Verschlüsselung nur teilweise
iOS 7 verschlüsselt Daten von Apps automatisch mit einem Schlüssel, in den der Passcode des Anwenders eingeht. Für eigene Apps genehmigt sich Apple allerdings Ausnahmen und verzichtet auf die Verschlüsselung von Nachrichten, Kontakten und mehr.
Mit iOS 7 hat Apple die Data Protection genannte Verschlüsselungsoption so erweitert, dass die Daten aller Apps automatisiert gesichert werden. In diese Verschlüsselung geht auch der persönliche Passcode des Anwenders ein. Doch ausgerechnet für die eigenen Apps genehmigt sich der Hersteller großzügige Ausnahmen und verzichtet auf die Verschlüsselung von Nachrichten, Kontakten und vielem mehr, wie Axel Schneider und Christopher Dreher von Cirosec (PDF) jetzt herausgefunden haben.
(Bild: Cirosec)
Die Datei-basierte Verschlüsselung, in die auch der Passcode des Anwenders mit eingeht, schützt jetzt automatisch die Daten von Apps wie Facebook, Skype und WhatsApp vor dem Zugriff von Dieben, die ein gesperrtes Gerät in die Finger bekommen. Doch die eigene Nachrichten-App speichert SMS, MMS und iMessages nach wie vor im Klartext. Auch das Addressbuch, Bookmarks, Notizen und Kalender-Einträge profitieren nicht von Data Protection. heise Security konnte Schneiders Versuchsaufbau nachstellen und ungeschützte Klartext-Nachrichten von einem gesperrten iPhone mit iOS 7.0.4 auslesen.
Ein weiteres Problem sind laut Schneider Apps, die nicht direkt unter iOS 7 installiert sondern von einer früheren iOS-Version mitgenommen wurden. Das Upgrade bringt sie nicht nachträglich auf das neue Schutz-Niveau. Dazu muss der Anwender die App erst einmal deinstallieren und neu einrichten.
Die Hintergründe erläutert der heise-Security-Artikel iOS-Verschlüsselung durchleuchtet. (ju)
