Sicherheitslücke

Fraunhofer warnt vor allzu sorglosem iPhone-Einsatz

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Wegen einer Schwäche im Sicherheitsdesign sollten sich Unternehmen, die das Apple-Handy einsetzen, nicht einzig auf die Geräteverschlüsselung verlassen, so das Institut.
So wirds gemacht: Jailbreak und SSH-Tunnel.
So wirds gemacht: Jailbreak und SSH-Tunnel.
Foto: Fraunhofer SIT

Mitarbeitern des Fraunhofer Instituts für Sichere Informations-Technologie (SIT) in Darmstadt gelang es , die Geräteverschlüsselung des iPhone auszuhebeln und in nur sechs Minuten viele der auf dem Gerät in der Keychain gespeicherten Passwörter zu entschlüsseln. Dabei mussten die Tester nicht einmal die 256-Bit-Verschlüsselung knacken, sondern machten sich nur eine Schwäche im Sicherheitsdesign zunutze (genaue Beschreibung): So wird der Schlüssel, auf dem die Verschlüsselung basiert, nicht auf Basis des geheimen Nutzer-Passworts generiert. Das grundlegende Geheimnis wird vielmehr direkt vom aktuellen Betriebssystem (iOS 4.2.1) gebildet und ist auf dem Gerät gespeichert.

Die Tester von SIT konnten in nur sechs Minuten viele Passwörter ausforschen.
Die Tester von SIT konnten in nur sechs Minuten viele Passwörter ausforschen.
Foto: Fraunhofer SIT

Der Angriff ist somit unabhängig vom verwendeten Kennwort des Benutzers möglich. Sobald ein Angreifer im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er nach einem Jailbreak über einen SSH-Tunnel sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen.

Unternehmen, die sich vor den Folgen solcher Angriffe schützen möchten, empfiehlt Fraunhofer, ihre Mitarbeiter entsprechend zu sensibilisieren und Notfall-Abläufe einzuführen. Wenn ein Mitarbeiter sein iPhone verliert, sollte nicht nur er alle seine Passwörter ändern, auch die Firma sollte die betreffenden Netzkennungen so schnell wie möglich erneuern.