• iOS Lockscreen ist nicht sicher

    von
    ultima optima
    Artikel bewerten
    Veröffentlicht: 02.07.2011 11:44 2719x gelesen  
    11 Kommentare Kommentare
    Apples iPad und iPhone lassen sich mit einem sogenannten Passcode sperren, um Unbefugten den Zugriff auf persönliche Daten zu verwehren. Doch c't hat diverse im Internet frei verfügbare Tools gefunden, mit denen sich diese Sperre relativ leicht umgehen lässt.

    Dabei wird ein modifiziertes Jailbreak-Image aufgespielt, welches per brute force-Methode den Passcode knackt, also alle möglichen Kombinationen durchprobiert. Das sind bei dem vierstelligen Passcode ja nur 9'999 (0-0-0-0 ist unzulässig) und das Überwinden dauert nur wenige Minuten. Brad Antoniewicz von Packet Storm Security hat das ganze Verfahren und die Tools detailliert beschrieben.Weiter können die Tools auf den Schlüsselbund des Systems zugreifen und die Passwörter von Apps, etwa Passwordsafes oder dem App Store, zugreifen und so noch mehr potentiellen Schaden ermöglichen. Brad Antoniewicz von Packet Storm Security hat das ganze Verfahren und die Tools detailliert beschrieben. Bei heise.de ist ein Video zu finden, welches das Vorgehen zeigt.
    Somit würde ein verlorenes iPhone oder iPad ein enormes Sicherheitsrisiko bedeuten. Man kann zwar statt des vierstelligen Passcodes ein Passwort verwenden, um sein Gerät zu schützen. Doch die Eingabe ist im Alltag derart unbequem, dass dies kaum jemand tut.


    Was sagt ihr dazu? Schützt ihr euer iPad/iPhone per Passcode oder anders? Sorgt ihr euch um die Sicherheit eurer Daten?

    Quelle: heise.de, packetstormsecurity (Englisch)
    Stichworte:
    Kommentare 11 Kommentare
    1. Avatar von Mo_20
      Mo_20 - 02.07.2011, 11:55
      das sollte eigentlich jedem bewssut sein, dass diese 4 stelligen codes nicht wirklich sicher sind. es dient einfach nur dazu, dass nicht jeder x-beliebiger zugriff aufs handy bekommt.

      wenn jemand nen handy durchsuchen will, mit dem hintergrund schaden anzurichten, der schafft es so oder so!
    1. Avatar von jOhNnY20
      jOhNnY20 - 02.07.2011, 12:07
      funktioniert das auch, wenn ich eingestellt habe, dass nach 10 maliger falscher eingabe des pins die daten gelöscht werden bzw. wird dies mit dem jailbreak umgangen oder wie sieht das dann aus?
    1. Avatar von Adr Ian
      Adr Ian - 02.07.2011, 12:20
      Aber das Iphone wird doch nach 5 maligem falsch eingeben für 2 Minuten gesperrt, wird dann wieder 5mal falsch eingegeben sinds 5 minuten, danach 15 oder so und irgendwann ist es tagelang gesperrt. :-O
    1. Avatar von One
      One - 02.07.2011, 12:44
      Irgendwie verstehe ich das grad nicht. Ich sehe da definitiv ein Risiko... Aber: Man kann in iOS einstellen, dass sich das GANZE System formatiert wenn der Code falsch eingegeben wurde. Und ich bezweifel, dass der Erfolg bei vielleicht maximal 10 Versuchen all zu hoch ist ^^
    1. Avatar von the_black_dragon
      the_black_dragon - 02.07.2011, 12:59
      die bruteforce methode wird nicht auf das UI passkey feld angewendet sondern intern auf ein verschlüsseltes datenpaket und dort läuft dieser zähler nicht mit....ich seh jetzt schon die ganzen sysadmins in den firmen, die meinten das iPhone als "sicheres" firmentelefon einsetzen zu wollen, panisch durch die gegend rennen und vom chef eins aufm deckel kriegen :S bin gespannt was das jetzt wird.... und gepatcht werden kann diese lücke nichtmal da der Bootrom ja nicht updatebar ist
    1. Avatar von One
      One - 02.07.2011, 13:05
      Panisch durch die Gegend Rennen brauch man nicht. Wir haben schon oft iPhone konfiguriert für Firmen die einen sicheren Passcode haben wollen und der war deutlich länger als 4 Zeichen. Damit müssen dir angestellten dann Leben, aber da war das iPhone nur das Firmentelefon. Das kancken eines längeren Passcodes dauert auch mit solchen Tools dann mehr als Jahre.


      Sent from my iPhone using Tapatalk
    1. Avatar von derklausgermany
      derklausgermany - 02.07.2011, 13:59
      Seh ich genauso wie One. wirk haben zwar keine morsmäßigen Passcodes, aber ein Managementtool. Da gibts ja auch fürs Iphone mittlerweile einige. Und darüber kann man dann ganz Blackberry-like Richtlinien und Ähnliches über die Mobile Internetverbindung verteilen. Und genauso kann man die Geräte Remote löschen.
    1. Avatar von One
      One - 02.07.2011, 15:31
      Richtig. Jeder der sich mit der Thematik als Admin auskennt wird mit Sicherheit keine 4 Zahlen einsetzen. Nur eine Zahl mehr - oder noch besser - nur einen Buchstaben hinzu packen und man braucht schon Wochen um das Passwort zu brechen. Niemand der sensible Daten schützen will greift auf 4 Zahlen zurück. Daher wird KEIN Admin der sein Handwerk versteht panisch durch die Gegend laufen. Eher müde lächeln so wie ich auch ^^
    1. Avatar von One
      One - 02.07.2011, 16:54
      Hahaha Update: Heise.de hat seinen Fehler in der Berichterstattung eingesehen und den Text mittlerweile kommentarlos editiert. Toll ^^
    1. Avatar von Isobuster
      Isobuster - 02.07.2011, 20:55
      Zitat Zitat von One Beitrag anzeigen
      Irgendwie verstehe ich das grad nicht. Ich sehe da definitiv ein Risiko... Aber: Man kann in iOS einstellen, dass sich das GANZE System formatiert wenn der Code falsch eingegeben wurde. Und ich bezweifel, dass der Erfolg bei vielleicht maximal 10 Versuchen all zu hoch ist ^^
      Das greift hier leider nicht, da das ganze über einen tethered Jailbreak gemacht wird, der diese Sicherheitssperre unterläuft. Wer also auf Nummer sicher gehen will, sollte keinen einfachen Zahlencode nehmen sondern ein komplexes alphanumerisches Passwort!
    1. Avatar von One
      One - 03.07.2011, 12:58
      Wurde ja schon gesagt ^^


    Du betrachtest gerade iOS Lockscreen ist nicht sicher von PocketPC.ch.