computerwoche.de

Mobile & Apps

Passcodes am iPhone

So funktionieren die Sicherheitsmechanismen von iOS

27.04.2013
Von Marco Leitloff
Für Business-Nutzer selbstverständlich, stecken private Anwender in einem Dilemma: Soll man seine iOS-Geräte mit einer Code-Sperre schützen oder nicht? Mit muss man sich weniger Sorgen um den Schutz seiner Daten machen, ohne kann man schneller einen Anruf tätigen oder Mails aufrufen.

Apple macht es dem Kunden nicht einfacher, wenn regelmäßig neue Sicherheitslöcher auftauchen, die es ermöglichen die Code-Sperre zu umgehen. Auch wenn der iPhone-Hersteller die Sicherheitslücken schnell schließt, bleibt das Vertrauen in die Sicherheit von iOS getrübt. Hinzu kommt, dass die Passwortabfrage unflexibel ist und häufig unvereinbar mit der Art, wie wir unsere Geräte im Alltag benutzen. Viele Benutzer fragen sich, weshalb iOS keine ortsbasierte Code-Sperre unterstützt, die aktiviert wird, sobald der iPhone-Benutzer die Wohnung verlässt.

Ein Blick hinter die Kulissen

Auf den ersten Blick sind Geheimzahlen kaum mehr als Türsteher zum eigenen Gerät und den Daten, die darauf gespeichert sind. Wie ein wachsamer Sicherheitsdienst wird iOS zunehmend misstrauischer, wenn der Benutzer eine falsche Persönliche Identifikationsnummern (PIN) eingibt. Die Pausen zwischen den Eingabemöglichkeiten werden länger und länger. Nach zehn fehlgeschlagenen Anmeldeversuchen löscht das Betriebssystem schließlich alle Daten auf dem iPhone, falls der Besitzer dies in den Einstellungen aktiviert hat.

Die Sicherheit von iOS beginnt bereits bei der Fertigung von iPhone und iPad.
Die Sicherheit von iOS beginnt bereits bei der Fertigung von iPhone und iPad.

Bestünden die Sicherheitsfunktionen von iOS jedoch lediglich aus einem PIN-Schutz, wäre das System äußerst unsicher. Für einen Hacker ist es relativ einfach, die Code-Sperre zu umgehen, indem er den Inhalt des Flash-Speichers herunterlädt und mit der passenden Software ausliest. Da viele Geräte an öffentlichen Plätzen verloren gehen oder gestohlen werden, hat Apple Sicherheitsvorkehrungen bereits in der Hardware verankert. Beim Zusammenspiel dieser verschiedenen Sicherheitstechniken spielt die Geheimzahl des Besitzers eine kleine, aber wichtige Rolle.

Verschlüsselung für alle

Die Sicherheitsfunktionen von iPad und iPhone beginnen in der Fabrik des Herstellers, wo zwei spezielle Codes direkt in die Hardware eingebrannt werden. Der erste ist ein Code, der für jedes Gerät einzigartig ist. Der zweite Code ändert sich mit jeder Produktlinie. Somit hat etwa das iPhone 5 einen individuellen Code und einen, der es als iPhone 5 identifiziert.

iOS benutzt diese Codes, zusammen mit Zufallsdaten, genannt Entropiecodierung, um einen geheimen Hauptschlüssel zu generieren. Dieser ist in einem dedizierten Bereich des Speichers mit dem Namen „Effaceable Storage“ abgelegt. Obwohl sich die Hardware-Codes nie ändern, garantiert die Entropiecodierung, dass nach jeder Wiederherstellung des iPhone ein neuer Hauptschlüssel erzeugt wird.

Jede Datei, die auf dem iPhone und iPad erstellt wird, ist mit einem eigenen Code verschlüsselt, der aus einem Teil des Hauptschlüssels erstellt wird. Da iOS-Geräte die Verschlüsselung auf Hardware-Ebene unterstützen, läuft dieser Prozess schnell ab und garantiert, dass Dateien ohne den Hauptschlüssel unlesbar sind.

Wer sein iPhone vollständig löschen möchte, entweder weil es gestohlen wurde oder verkauft werden soll, muss über das Betriebssystem lediglich den „Effaceable Storage“ löschen. Dadurch werden die gesamten Daten auf dem Gerät unbenutzbar, auch wenn sie technisch noch vorhanden sind. Installiert der Besitzer ein neues Betriebssystem, wird ein neuer geheimer Hauptschlüssel erstellt.

Der speicherbasierte Sicherheitsansatz hat zwei Vorteile: Erstens ist er recht schnell und effizient, was nützlich ist, wenn es zum Beispiel darum geht, ein gestohlenes iPhone möglichst schnell zu löschen. Zusätzlich verbessert er die Lebensdauer der Flash-Module, die nur begrenzt wiederbeschreibbar sind.

Geheimzahl eingeben

So praktisch dieses Sicherheitskonzept sein mag wenn es um Schnelligkeit geht, schützt es jedoch nicht vor neugierigen Blicken. Denn der Hauptschlüssel zum Entschlüsseln der Daten ist direkt auf dem iPhone gespeichert, so dass ein fähiger Hacker ihn auslesen könnte.

Wer die Code-Sperre am iPhone einschaltet, veranlasst damit, dass ein weiterer Schlüssel generiert wird.
Wer die Code-Sperre am iPhone einschaltet, veranlasst damit, dass ein weiterer Schlüssel generiert wird.

Hier kommt die Geheimzahl ins Spiel. Wer die Code-Sperre am iPhone einschaltet, veranlasst damit, dass ein weiterer Schlüssel generiert wird. Dieser verschlüsselt ausgewählte Daten, die als kritisch für das Betriebssystem gelten, etwa den Schlüsselbund oder einzelne Apps.

Die Zahlenreihe der Zugangssperre wird also Teil des Schlüssels und sofort verworfen, wenn das iPhone gesperrt ist. Auf diese Weise ist es für das iOS physisch unmöglich, die Daten zu entschlüsseln, bis die Geheimzahl vom Anwender erneut eingegeben wird. Da die Geheimzahl nirgends auf dem Gerät abgespeichert ist, ist eine Entschlüsselung der Daten nur über einen Brute-Force-Angriff möglich. Der Angreifer muss also alle Code-Kombinationen durchprobieren, bis er die richtige gefunden hat.

Die Tatsache, dass die PIN nicht auf dem iPhone gespeichert ist hat zur Folge, dass Apple einem Kunden nicht helfen kann, wenn dieser seine Geheimzahl vergessen hat. Es ist auch der Grund, weshalb iOS die Code-Sperre nicht ortsbezogen an- oder ausschalten kann, etwa wenn man nach Hause kommt. Die vom Benutzer eingegebene PIN ist physikalisch notwendig, um die Daten zu entschlüsseln und ist zu keinem Zeitpunkt auf dem Gerät abgelegt.

Die Schwachstelle

Die Geheimzahl kann mehr als vier Stellen haben.
Die Geheimzahl kann mehr als vier Stellen haben.

Allerdings werden Geheimzahlen zur Schwachstelle, sobald der Mensch ins Spiel kommt. iOS verlangt in der Grundeinstellung einen vierstelligen Zahlencode. Der ist mit einer Hand schnell eingegeben, ein längerer alphanumerischer Code ist deutlich umständlicher. Apple selbst gibt jedoch zu (PDF-Download), dass ein Hacker, der Zugriff auf den Inhalt eines Gerätes erlangt, eine vierstellige Geheimzahl in kurzer Zeit knacken kann. Voraussetzung ist lediglich ein kleines Programm, das alle 10.000 möglichen Kombinationen durchprobiert. Viele Nutzer wählen extrem einfache PINs wie „0000“ oder „1234“, die sich schnell herausfinden lassen, indem ein Angreifer die häufigsten Zahlenkombinationen einfach ausprobiert. Aber auch kompliziertere Kombinationen ließen sich mit Brute Force knacken. So beträgt laut Apple die Zeit zwischen zwei Iterationen im Schnitt 80 Millisekunden. Die Kombination "9999" wäre bei einem simplen Vorgehen nach 13,5 Minuten geknackt – wobei erfahrene Hacker zuerst die häufiger verwendeten Codes ausprobieren, zu denen auch die "9999" gehört. Für eine neunstellige Zahlenkombination würde man etwa zweieinhalb Jahre benötigen, eine sechsstellige alphanumerische Kombination wäre erst in fünfeinhalb Jahren sicher "erraten". Weshalb in diesem Fall Brute-Force-Methoden versagen.

Nach unseren Tests am neuen iPad 4 unter iOS 6.1.2 mit dem Progrämmchen "bruteforce" scheint das Ausprobieren der Schlüssel an neueren iOS-Geräten deutlich schneller zu gehen - oder Apple hat den Interations-Zyklus verkürzt. Alle 10 000 möglichen Kombinationen waren bereits nach 7 Minuten und 20 Sekunden durchprobiert - also etwa 44 Millisekunden pro Schlüssel. Vielleicht ist auch die Angabe aus Apples Sicherheits-Papier aus dem Mai 2012 inzwischen veraltet, oder - wie wir schon Anfang 2011 vermuteten - abhängig von der Prozessorgeschwindigkeit des iOS-Geräts. Damals hatten wir mit dem selben Programm noch rund 27 Minuten benötigt am Ur-iPad, um alle Schlüssel durchzuprobieren.

Bessere Passwörter wählen

Zum Glück ist es einfach, die Sicherheit eigener Passwörter zu verbessern. Wer eine reine Zahlenkombination beibehalten möchte, weil sie einfacher am iPhone einzugeben ist, kann die Zahl verlängern. Dazu deaktiviert man in den iOS-Einstellungen unter Allgemeinund Code-Sperre den Menüpunkt Einfacher Code. Legt der Benutzer nun eine Geheimzahl fest, die mehr als vier Stellen hat und ohne Buchstaben auskommt, behält iOS das numerische Eingabefeld bei.

Natürlich weiß ein Dieb dadurch auch, dass die PIN nur aus Zahlen besteht. Trotzdem erhöht sich mit jeder Zahlenstelle die Zeit, die ein Brute-Force-Angriff zum Knacken des Codes benötigt. Für eine sechsstellige Geheimzahl benötigt man laut Apple bereits 22 Stunden, während eine neunstellige PIN erst in zweieinhalb Jahren zu knacken wäre.

Ein Passwort bietet allerdings nie einen vollständigen Schutz, es verlängert lediglich die Zeit, die ein Angreifer braucht, um an die Daten zu gelangen. Mit ausreichend Zeit und den entsprechenden Ressourcen ist fast jede Verschlüsselung zu knacken.

Zeit gewinnen

Angenommen iPhone oder iPad ist in die Hände eines Diebes geraten, der möglichst schnell an die Zugangsdaten für das Online-Banking gelangen möchte. In diesem Fall hilft bereits eine vierstellige Code-Sperre, um über die Funktion „iPhone suchen“ per Fernverwaltung die Daten auf dem Gerät zu löschen. Entfernt der Dieb jedoch die SIM-Karte und vermeidet jede Verbindung zum Internet, hat er alle Zeit der Welt, um an die gespeicherten Daten zu gelangen. Eine längere, beispielsweise sechsstellige, PIN könnte jedoch ausreichend Zeit verschaffen, um rechtzeitig alle wichtigen Passwörter von E-Mail-Konten und Online-Banking-Seiten zu ändern.

Sind auf einem mobilen Gerät hochsensible Daten gespeichert, ist ein langes alphanumerisches Passwort unbedingt notwendig. Zumindest der Versuch sollte gemacht werden, die Informationen den Möglichkeiten entsprechend zu schützen.

Die richtige Balance zwischen Alltagstauglichkeit und Sicherheit zu finden ist weniger schwierig, wenn man versteht, wie die Code-Sperre funktioniert. Apple wird bemüht sein, auftauchende iOS-Sicherheitslücken möglichst zeitnah zu schließen, aber die Geräte sind nur so sicher wie das gewählte Passwort.

Dieser Artikel basiert auf einem Beitrag der Schwesterpublikation Macwelt.