iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 849 Artikel
   

Fraunhofer: iPhone verloren? Passwort verloren! (Video)

Artikel auf Mastodon teilen.
66 Kommentare 66

Das Fraunhofer Institut und Expertisen zum Thema iPhone-Sicherheit? Eine bekannte und geschätzte Kombination die mit dem heute veröffentlichen Studien-Papier „Lost iPhone? Lost Passwords!“ (PDF) einmal mehr auf sich aufmerksam macht. So demonstrieren die beiden Forscher der SIT-Abteilung Jens Heider und Matthias Boll (SIT steht hier für Secure Information Technology) ein Angriffszenario auf das iPhone bei dem sich mit Hilfe der Web-weit verfügbaren Jailbreak-Werkzeuge die im iPhone hinterlegten Passwörter trotzt aktivierter Passcode-Sperre auslesen lassen (Youtube-Demonstration). In der Pressemitteilung des Fraunhofer schreibt Oliver Küch.

[…] Der Angriff ist bei jedem Gerät mit dem iOS-Betriebssystem möglich, unabhängig vom verwendeten Kennwort des Benutzers. Sobald ein Angreifer im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten z.B. sozialen Netzwerken, muss der Angreifer einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer. […]

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
09. Feb 2011 um 18:17 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    66 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Gilt das auch für in 1Password gespeicherte Passwörter?

  • Das ist dann wohl der „angepasste jailbreak“ von dem bei heise in Zusammenhang mit online banking die Rede war.

  • toll wenn ich mein Notebook verlier kann man da auch die passwort-Sperre knacken. Nur Panikmache!

    • Klar, im Prinzip ist es genau die gleiche Situation. Mein Notebook-Passwort kann ja durch ausbau der Festplatte auch umgangen werden. (Außer ich habe die Festplatte verschlüsselt, aber wer macht sich diese Mühe…)

      • TrueCrypt – Kost nix und macht keine Mühe außer einmal simpel einrichten. Von da an nur ein Passwort zum Rechnerstart und das war’s.

  • Ob da RIM wohl den ein oder anderen Euro an das Fraunhofer Institut hat fließen lassen. Schelm ist, wer da böses denkt. Ich denke es muss nicht erwähnt werden, dass jedes von Menschenhand gesicherte auch wieder von eben jener solchen wieder entsichert werden kann…
    Hat da die Konkurenz Angst vor dem aufkeimenden Stellenwert des iPhones im Business-Segment…???

  • Also, wenn mal wieder das iPhone futsch ist und es selbst über die MobileMe Funktion nicht finden lässt ist nicht nur die Handykarte zu sperren, sondern auch gleich online die ganzen Kennwörter für Email, Banken, Netzwerke und iTunes ändern. Hmmmm, gut zu wissen!

  • Zuerst war ich geschockt, nach dm Video doch wieder entspannt. Es gehört wohl ein wenig mehr kriminelle Energie dazu vom Finder und viel Pech vom Verlierer!

    Mir macht es keine Angst!

    Grüße

  • Schönen dank an die Jailbreak Szene…

    Sicherheitslücken veröffentlichen die jede Software/ jedes OS besitzt damit jeder kleinganove scheisse bauen kann…

    DANKE!

  • Wer weiß das nicht? Aber der Finder muss erst mal Interesse an deinem iPhone + Passwörter haben. In 99% der Fälle freut sich der Finder über iPhone und verkauft oder benutzt es.

    Das bedenkliche Szenario: du bist Entscheidungsträger einer Firma und der Diebstahl deines iPhone hilft der Konkurrenz an wichtige Informationen zu kommen. Aber hier gibt’s auch andere mtheifen an wichtige Daten zukommen.

  • Zwar bedenklich aber trotz alledem: was ist wo heutzutage sicher?
    Ich renne ja auch nicht zur Bank und hole immer bei gehaltseibgang mein ganzes Geld und Verstecke es unterm Kopfkissen in der Hoffnung es vermehrt sich.

  • Also ich weiß nicht, wie es euch geht, aber ich würde ohnehin, wenn ich mein iPhone verloren haben, rein prophylaktisch alle (wichtigen) Passwörter zurücksetzen. Ganz egal wie schwer oder einfach nun jemand an meine gespeicherten Passwörter rankommen könnte.

  • Hey,

    „die Forscher der SIT-Abteilung“ ist einfach mal absolut falsch! Es handelt sich um das Fraunhofer-Institut für Sichere Informationstechnologie (SIT). DAS Fraunhofer-Institut gibt es nicht, nur eine Fraunhofer-Gesellschaft. Die Institute an sich sind aber eigenständig.

    Wenn man Quellen nennt, dann bitte auch korrekt.
    (Woher ich das alles weiß? Ich arbeite da zufällig.)

    Grüße,
    Katharina Franz

  • What one man can build, another one can destroy.

    Nichts ist sicher, soviel ist sicher;)

  • Toll. Und jetzt? IPhone schnell für 59,-€ in die Bucht hauen, oder wie? Mit so ’nem sch**ss verbringen die deren Zeit?
    Demnächst haben die warscheinlich auch noch ein Tool erfunden, welches den Simlock von einem alten Sagem-Handy entfernt, was?
    Die sollen mal lieber an etwas tüfteln was für die Sicherheit der Menschheit hilfreich ist, dass so etwas wie z.B. in Moskau nicht noch mal passiert!

    • Das ist jetzt nicht dein Ernst. Selten etwas so unglaublich dämliches gelesen. Alle Vorzüge der Technik geniessen aber sobald dir was nicht gefällt mit einem weltverbesserungs Argument ankommen. Vielleicht solltest du auch mal etwas sinnvolles mit was mit deiner Zeit anfangen!!!

      • Du hast es zum Teil richtig erfasst, ich geniesse die Vorzüge der Technik, ja klar. Aber ich habe keine sicherheitsrelevanten Sachen auf meinem Handy die meine Existenz ruinieren könnten! Wenn ich’s verliere, kaufe ich mir ein neues! Alles ist nun mal ausspähbar! Das sollte aber jedem schon klar sein, da braucht man keine Forscher für!
        Und alles Andere an Daten sind für mich Einsen und Nullen.
        Und jetzt argumentiere mir mal bitte den Sinn von diesem – zum Teil aus unseren Steuergeldern finanzierten – „Forschungsergebnis“!

  • Ei mir weden die videos nicht gespielt
    Seit ich 4.2.1 habr

  • Eine kleine Einschränkung: Mit dem iOS 4 hat Apple die Möglichkeit gegeben, dass Entwickler ihren Apps beibringen ihre Daten im Dateisystem zusätzlich zu sichern. Die Attribute lauten kSecAttrAccessibleWhenUnlocked und NSFileProtectionComplete. (Was übrigens auch im Artikel auf heise erwähnt wurde)
    Ohne Passcode können die Daten dann nicht über den Exploit im oben genanntem Artikel entschlüsselt werden.
    Von Apples eigenen Anwendungen beim iOS tun das Safari und Mail. Auf Webseiten gespeicherte Passwörter und die Passwörter der Mail-Addressen können also nicht „mal eben“ ausgelesen werden. (Es sei denn man benutzt alternative Browser und Mail Clients die davon keinen Nutzen machen)
    Nur sollte Apple noch ähnliches noch beim WiFi und Co implementieren. Außerdem sollten alle Entwickler von Apps die mit sensiblen Daten umgehen darauf zurückgreifen.

    Was das Thema Jailbreak angeht:
    Die Hacker die sich dem Jailbreak des iOS widmen sind nunmal etwas egoistisch und hoffen auf persönlichen Ruhm. Sie versuchen dem Hersteller möglichst lange vor zu enthalten wo eine Lücke besteht um selbst Ruhm zu ernten. Während anderweitig viele Hacker Lücken suchen und bei Fund dem Entwickler mitteilen, damit dieser sie schließt wird hier alles daran gesetzt es Apple möglichst schwer zu machen die Lücke schnell zu schließen.
    Die Möglichkeit des Jailbreak an und für sich ist – defakto – ein stetes Sicherheitsrisiko für jeden der sein iOS Device verliert, bzw. dem es gestohlen wird.
    Da der Zweck jedoch die Mittel gerne heiligt schert das die wenigsten und solange die Hacker dafür hochgejubelt werden und befürwortende Stimmen bekommen werden sie so wie bisher weitermachen. Sich darüber aufzuregen hilft also nicht.
    Aber man soll sein iOS Device ja auch nicht rumliegen lassen…
    …und außerdem…
    …wenn man es verliert, einfach direkt wipen und gut. Dann braucht man auch keine Angst davor haben das jemand über einen Jailbreak die persönlichen Daten klaut. Und man braucht ergo auch keine Angst vor der Existenz eines Jailbreak haben.

  • Find das schon bedenklich. Auch wenn dadurch nicht mein Leben in gefahr ist. Aber im Schlimmsten fall ergeben sich dadurch rennereien die aber nachweislich geklärt werden können. Aber das iPhone ja deshalb nicht schlechter als alle anderen. Glaub das klappt mit Know How auch bei Android und Co.

    • Bei Android lassen sich zurzeit Teile des Dateisystems durch eine entsprechend präparierte Webseite auslesen (es sind alle Versionen einschließlich 2.2 betroffen, bei 2.3 wurde der Fehler von Google halbherzig behandelt und der patch lässt sich umgehen womit weiterhin große Teile des Dateisystem offen bleiben). Man muss das Gerät also nichtmal verlieren, sondern sich nur auf die falsche Website verlinken lassen.
      Was die Sicherheit angeht haben also Apple sowie Google nachzubessern.
      Nun gut, bei diesem Problem beim iOS lässt sich das Problem Gott sei dank leicht behandeln. Verliert man sein iPhone einfach data-wipe und gut.

  • remote >> kill! fertig!!!

    immer diese sicherheitsleier. wenn man heute sein portemonnaie verliert ist das wohl nur noch ez shit oder was???

    100% sicherheit gibts halt nirgends. aber man kann es einem potentiellen „dieb“ halt so schwer wie möglich machen das er einfach die lust verliert.

    ausserdem weiß man das man seine passwörter in regelmässigen abständen ändern soll oder etwa nicht???

    also leute nix ist so sicher wie das amen in der kirche…

  • Klingt nicht gut.

    Aber, wenn mein iPhone weg wäre, würde ich es schleunigst fern löschen.

  • Wer nen Klapprechner hat, muss das Ding nur mit TrueCrypt dichtmachen. Dann kann der geklaut werden und was auch immer, aber die Infos auf der Platte sind absolut sicher. Ein gutes Gefühl.
    Aber beim iPhone kann ich leider nicht den kompletten Speicher verschlüsseln…

    • Das iPhone arbeitet mit einer 256Bit AES Verschlüsslung. Das geschieht über eine Hardwareverschlüsslung. Kann man auf apple.com nachlesen.

      Gilt für das 3GS und 4er.

      Hier ist das Problem, dass die Verschlüsselung in dem Fall nichts bringt.

      Lösung: Apple wird im übernächsten Update einfach alles im sicheren Bereich speichern. Entwickler, wie 1Password und andere Apps, die wichtige Daten speichern, machen das ehe schon.

      Für Nicht-Jailbreak Nutzer, ist sowas ärgerlich. Aber so ist das mit einem beliebten Gerät. Da suchen viele, nach Lücken. Aber sehe das, eher gelassen. Gut, dass wir einfach Updates einspielen können.

      Bei Android, müssen die Leute mit Sicherheitslücken leben. Davon mal ab, ist die MSD ehe unverschlüsselt. Also da geht es noch einfacher.

      • Ja gut, dann wollen wir mal ganz pingelig sein ;o)
        Wenn wir schon von dem Fall reden „iPhone verloren und zu doof zum wipe“ dann müssen wir beim Computer mit TrueCrypt verschlüsseltem Volumen auch von „gestohlener Computer von jemand der sich die Backdoorsoftware zum Auslesen des Speichers und segmentieren des Passworts besorgt hat“.
        Ja, TrueCrypt hat eine Backdoor die für Behörden gedacht wurde (um Zugriff auf die Daten beschlagnahmter Rechner zu erlangen). Diese Software wird wohl auch an Privatermittler/-detektive weitergegeben (laut Aussage des Vorsitzenden von Passware, Inc). Kann also auch theoretisch in die falschen Hände gelangen.
        Merke: Das iPhone verschlüsselt nicht nur in 256bit AES wie gado richtig angemerkt hat, sondern hat auch einen remote wipe :o)

      • TrueCryt hat keine Backdoor… Wer sowas behauptet sollte zumindest einen Beweis bzw. Quelle mitliefern…

      • @Pazuzu: Tut mir leid, aber das ist Blödsinn.
        Wo steht in Deiner Quellenangabe (also dem zitierten Werbetext eines nicht sehr bekannten Unternehmens), daß Truecrypt eine Backdoor enthält?

        @all: Bitte redet es Euch doch nicht schön: Die von Apple gelieferten Funktionen, um die Daten eines (verlorenen) Iphones zu schützen, sind derzeit offenbar recht leicht umgehbar. Das ist schlecht und – leider- mit ein Grund, warum man das Iphone in Firmen ungerne als mobiles Gerät zuläßt.
        Ich hoffe, Apple bessert sehr bald nach.

        Und das Argument „einfach remote wipen, wenn mans verliert“, wurde weiter oben schon ausgehebelt: Wer das Iphone findet, der schaltet es aus und entnimmt zunächst die SIM-Karte. Und jetzt kommt ihr…

        Viele Grüße,
        bfg

      • Nun, korrekt, es ist weniger eine Backdoor als einfach nur ein Exploit. Egal, wie man es dreht und wendet, TrueCrypt bietet ebenfalls keine hundertprozentige Sicherheit. Es ist eher unkompliziert an die nötige Software zum Entschlüsseln zu gelangen.
        Ich für meinen Teil will eigentlich nur sagen, dass fast nichts wirklich sicher ist.

      • Hallo Pazuzu,

        also wenn Truecypt so einfach „knackbar“ wäre – immerhin benutzt es bisher ungeknackte, brachenweit als sicher geltende Verschlüsselungs-Algorithmen – wäre mittlerweile schon ein Aufschrei durch die „Sicherheits-Szene“ gegangen. Ich glaube dem Unternehmen daher nicht, daß ihm dieser Coup gelungen ist.
        Hast Du noch andere Quellen, die bestätigen, daß es einen funktionierenden Exploit für Truecrypt gibt?

        In England (nach meiner Erinnerung war es dort) ging vor kurzem mal eine Mensch in Beugehaft, weil er seinen Rechner mit Truecrypt geschützt hatte und das Paßwort nicht herausgeben wollte. Hätten die Behörden TC so leicht umgehen können, wie von Dir geschildert, hätten sie das sicher auch getan.

        Viele Grüße,
        bfg

      • Also hab mal den TrueCrypt kram etwas recherchiert und es scheint als ob das Tool nur funktioniert, wenn der Computer noch läuft und ne Firewire-Schnittstelle hat…

        Das dürfte das ganze ein wenig relativieren.

  • Naja, diese Möglichkeit des Crackens ist schon recht beängstigend.
    Aber was Ware denn die perfekt alternative?? Keine Email bzw irgendwelche Passwort-verwendende Dienste nutzen??
    Egal welche Software oder hardware, gefranzt werden kann’s im Zweifel immer, nur der Aufwand sollte möglichst hoch sein um abzuschrecken, was ja hier wohl noch gegeben ist.

  • panikmache, vorgeführt unter einsatz von windows, den sichersten betriebssystem der welt!

  • Wenn einer wo rein will, kommt er rein,..
    war, ist und bleibt so,..

    völlig unnütz so Berichte..
    Nichts ist wirklich sicher..

  • Ich hab grad keine Möglichkeit des Video mit Ton anzuschauen…
    Wie sieht es aus, wenn das Iphone schon gejailbreaked ist und ich meine root passwörter geändert habe (mobile und normales root).
    Hauen die einfach ein Jailbreak drüber und es ist wieder standard: „alpine“ oder wie?
    Brauchen die zum auslesen die root passwörter?

    An sich find ich die ganze sache nicht weiter schlimm, darauf kommen die wenigsten… meist wird das hände zurückgesetzt und selbst benutzt oder verkauft.

  • Mein Gott beim iPhone muss immerhin erstmal noch gejailbreakt werden ich denke an mein altes Windows smartphone … Also was soll’s Risiko is immer

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38849 Artikel in den vergangenen 6325 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven