Privacy-Leck bei iOS 7

Automatische Verschlüsselung unter iOS 7 greift nur teilweise

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Wie Berater der Cirosec GmbH herausfanden, sind die mit iOS 7 mitgelieferten neuen Funktionen zur automatischen Verschlüsselung von App-Daten mit Vorsicht zu genießen: Es gibt einige Lücken, interessanterweise scheint Apple ausgerechnet bei eigenen Apps zu schlampen.

Bereits mit den in iOS 4 vorgestellten Verschlüsselungs-APIs hatte Apple Entwicklern eine Möglichkeit gegeben, sensible Daten von Apps sicher auf dem Endgerät abzulegen. Gleichzeitig konnten sie Daten mit einer Schutzklasse versehen und damit festlegen, ab welchem Zeitpunkt sie entschlüsselt zur Verfügung stehen und ob sie bei einem Geräte-Backup mit gesichert werden sollen.

In der neuen Version iOS 7 ging Apple nun noch einen Schritt weiter und führte auch für alle Thirdparty-Applikationen die Verschlüsselung auf Dateisystemebene mit ihrer Data-Protection ein. Die Dateien werden dabei in den Ordnern Documents und Library aller Thirdparty-Apps mit der Schutzklasse "NSFileProtectionCompleteUntilFirstUserAuthentication" abgesichert. Diese sorgt dafür, dass die Dateien mit einem Schlüssel verschlüsselt sind, in den der Passcode des Anwenders eingeht. Erst nach erstmaliger Eingabe dieses Passcodes nach einem Booten stehen die Daten entschlüsselt im Dateisystem zur Verfügung.

Verschlüsselung fehlt

Wie die beiden Berater Axel Schneider und Christopher Dreher des Sicherheitsspezialisten Cirosec nun in einer Untersuchung (PDF) herausfanden, ist die versprochene automatische Verschlüsselung von App-Daten in einigen Fällen allerdings nicht vorhanden. Insbesondere die Apps, die mit dem Betriebssystem mitgeliefert werden, verwenden in vielen Fällen die neuen Verschlüsselungsfunktionen nicht. Kalenderdaten, Kontakte, SMS-Nachrichten oder Notizen sind somit auch nach einem Update auf iOS 7 nicht auf Dateiebene verschlüsselt und können auf älteren Geräten einfach ausgelesen werden.

Offen wie ein Scheunentor: Die Kalender-Datenbank Calendar.sqlitedb
Offen wie ein Scheunentor: Die Kalender-Datenbank Calendar.sqlitedb
Foto: Cirosec

Besser sieht es laut Cirosec bei mit Activesync synchronisierten E-Mails aus: Zwar ist die Mail-Datenbank „Protected Index“ unverschlüsselt abgelegt. Diese Datenbank beinhaltet jedoch nicht die eigentlichen E-Mails, sondern nur noch IDs der E-Mails, welche bereitliegen oder empfangen wurden. Dies hat den Hintergrund, dass eine neue E-Mail dem iPhone über eine Push-Nachricht mitgeteilt wird und diese Push-Nachricht respektive die ID der E-Mail auch in einem gesperrten Gerätezustand gespeichert werden muss. Erst wenn das Gerät entsperrt und die Nachrichten-App geöffnet wird, wird die eigentlich E-Mail geladen. Die empfangenen E-Mails und deren eventuell vorhandenen Anhänge werden in einer separaten Datenbank verschlüsselt gespeichert.

Auch die Mail-Datenbank "Protected Index" ist unverschlüsselt. Sie enthält aber nur die IDs der Mails.
Auch die Mail-Datenbank "Protected Index" ist unverschlüsselt. Sie enthält aber nur die IDs der Mails.
Foto: Cirosec

Third-Party-Apps: Einfaches Update hilft nicht

Schlecht ist es häufig auch um die Sicherheit von Daten in Apps von Drittherstellern bestellt, die auf iOS 7 aktualisiert wurden. Wie Cirosec exemplarisch bei den Apps Skype oder Facebook/Facebook Messenger feststellte, ist die Verschlüsselung nach einem Betriebssystem-Update nicht aktiv, sondern greift erst nach dem Entfernen und einer Neuinstallation der App. Wurde das Gerät dagegen nur via AppStore von einer früheren iOS-Version aktualisiert und die App war schon vor dem Update auf dem Gerät installiert, liegen die Daten weiterhin unverschlüsselt auf dem Dateisystem, obwohl sich bei einer Aktualisierung die GUID der App auf dem Dateisystem ändert.

Mitlesen möglich: Die Datenbank main.db der Skype-App
Mitlesen möglich: Die Datenbank main.db der Skype-App
Foto: Cirosec

Es gibt aber auch positive Ausnahmen, wie Cirosec bei den beliebten OTT-Anwendungen Viber und WhatsApp feststellte: Hier war in keinem Fall ein Zugriff auf die Datenbanken möglich, da die App-Entwickler schon in früheren Versionen die API der Apple Data-Protection benutzt hatten.

Cirosec-Empfehlung: Alte iDevices ausmustern

Die Erkenntnisse der Untersuchung zeigten einmal mehr, dass iDevices, welche nicht mindestens auf Apple‘s A5-Architektur basieren, nicht mehr eingesetzt werden sollten, erklärt Cirosec-Berater Axel Schneider gegenüber der COMPUTERWOCHE. Bisher habe man argumentiert, dass ein ausreichend langer Passcode auch diese Geräte gegen physikalische Angriffe absichert. Wie die Untersuchung jedoch zeige, seien eine Vielzahl von sensiblen Daten nicht geschützt und könnten ohne die Kenntnis des Passcode von Geräten mittels physikalischem Zugriff extrahiert werden. Bei aktuellen iDevices empfiehlt sich nach einem Update auf iOS 7 eine gezielte Neuinstallation von Thirdparty-Apps, welche sensible Daten verarbeiten erfolgen sollen.