Fraunhofer-Mitarbeiter hebeln iPhone-Verschlüsselung in sechs Minuten aus

MobileSicherheitSicherheitsmanagementSmartphone

Mitarbeitern des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) ist es gelungen, die Geräteverschlüsselung des iPhone auszuhebeln und auf dem Gerät gespeicherte Passwörter binnen sechs Minuten zu entschlüsseln.

Dafür mussten sie nicht einmal die Verschlüsselung knacken, sondern machten sich eine Schwachstelle im Sicherheitsdesign zunutze. Nach einem Jailbreak installierten sie einen SSH-Server, um beliebige Software auf dem Gerät starten zu können. In diesem Fall handelte es sich um ein Skript, das iOS-Funktionen nutzt, um Daten aus der so genannten Keychain-Datenbank zu erhalten. In der sind alle Passwörter zwar verschlüsselt gespeichert, doch Anwendungen können mithilfe des Geräteschlüssels darauf zugreifen – so auch das Skript der Fraunhofer-Mitarbeiter, das die Schlüssel aus der Keychain anschließend ausgab.

Ein Angreifer gelangt so an Passwörter für Mail-Accounts, WLAN- und VPN-Zugänge sowie alle möglichen Anwendungen. Gerade in Firmen, in denen iPhones eingesetzt werden, kann das die Sicherheit des gesamten Netzwerks bedrohen, warnen das Fraunhofer SIT.

Viele Smartphone-Nutzer glaubten, dass die Geräteverschlüsselung für ausreichende Sicherheit sorgen, erklärt Jens Heider, technischer Leiter im Testlabor IT-Sicherheit am Fraunhofer SIT. Selbst in den Sicherheitsabteilungen von Firmen sei diese Einschätzung weit verbreitet. »Unsere Demonstration beweist, dass dies ein Trugschluss ist. Selbst Geräte die mit hohen Sicherheitseinstellungen betrieben werden, ließen sich in kürzester Zeit knacken«, so Heider.

Die Schwachstelle betrifft alle Geräte mit iOS, also auch das iPad. Für ihre Demonstration ein iPhone mit der neuesten Firmware-Version iOS 4.2.1.

Unternehmen sollten ihre Mitarbeiter auf die Sicherheitsprobleme hinweisen und Notfall-Abläufe einführen, rät Heider. Wer sein iPhone verliere, müsse so schnell wie möglich alle Passwörter ändern, die Firma müsse die Netzkennungen erneuern. »Hier zeigt sich, wie gut das Sicherheitskonzept auf die mobile Herausforderung eingestellt ist«, meint der Sicherheitsexperte.