Schnüffel-Schutz: iPhone gegen unbefugte PC-Zugriffe Dritter absichern
Setzt ihr bei eurer täglichen iPhone-Nutzung einen Passcode ein, dann ist euer Gerät dank der integrierten Hardware-Verschlüsselung bereits relativ gut gegen unbefugte Zugriffe abgesichert. Im Fall eines Verlustes kann das Gerät ferngelöscht werden, das Gros der Daten ist durch euer Passwort geschützt – gegen die forensischen Angriffe von Strafverfolgungsbehörden, Nachrichtendiensten und dem unbeaufsichtigten Zugriff durch das übervorsichtige Sicherheitspersonal an internationalen Flughäfen, ist euer Gerät jedoch nur bedingt geschützt.
Darauf hat nun der Security-Experte Jonathan Zdziarski in seinem iOS-Sicherheitsvortrag „Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices“ hingewiesen.
Strafverfolgungsbehörden mit physikalischem Zugriff auf euer iPhone können heutzutage aus einer Handvoll (nicht-öffentlicher) Software-Helfer wählen, die dafür optimiert sind, die Geräte von Zielpersonen nach persönlichen Daten zu durchforsten. Laufende Prozessen, temporäre Log-Dateien und nicht verschlüsselte Konfigurations-Parameter würde im Polizeialltag zahlreiche Anhaltspunkte liefern.
Ist euer iPhone erst mal mit einem Amts-Rechner verbunden, so Zdziarski, würde das Apple-Handy trotz seiner Hardware-Verschlüsselung und der aktiven Passcode-Sperre viele Daten seines Besitzers Preisgeben.
Eine Misere, aus der Apples selbst einen Ausweg anbietet.
Mit dem Apple Configurator, (Mac App Store) dieser Hinweis lässt sich auf Seite 50 der von Zdziarski veröffentlichten Vortragsfolien (PDF-Link) einsehen, kann das persönliche Gerät komplett abgeriegelt werden und reagiert fortan nicht mehr auf die Kommunikationsversuche fremder Rechner.
Alles was vorsichtige iPhone-Nutzer dafür tun müssen ist (a) den Apple Configurator kostenlos aus dem App Store zu laden, (b) ein neues Konfigurationsprofil für das eigene Gerät zu erstellen und (c) die Berechtigung „Verbindung mit Hosts ohne Configurator-Installation erlauben“ zu deaktivieren.
Gerät das so gesicherte iPhone anschließend in fremde bzw. in die falschen Hände, würden sich alle derzeit erhältlichen, forensischen Software-Tools die Zähne ausbeißen. Ein so abgeriegeltes iPhone spricht über sein USB-Kabel nicht mehr mit fremden Rechnern und kann seinen Besitzer auch nicht mehr kompromittieren.
Die Schritt-für-Schritt Anleitung liefert euch dieses Dokument.
Auf welchen PCs funktioniert es dann noch?
Gibts sowas auch für Windows?
Ja
mensch, danke Thor für den hilfreichen Hinweis!
meine Fresse… o_O
Unter Windows gibt zum Anlegen von Konfigurationsprofilen das „iPhone Configuration Utility“ – das kann aber nicht so viel, wie sein OS X Pendant. Ich habe leider gerade keinen Computer in der Nähe auf dem das installiert ist, aber ich werde heute Abend zuhause mal auf die Suche gehen.
Er antwortet doch nur genau auf deine Frage. Einfach locker bleiben und nicht unnötig aufregen.
[at] Nubie: So sehe ich das auch! Einfache Frage = einfache Antwort. Anonymous fragt nur, ob es so etwas gibt und nicht wie es womöglich heißt. Zu faul Google zu fragen ist er ja auch… ;P
Danke für Euer Verständnis Leute. Auch ich habe kurz bei Google nach „Apple Configurator“ gesucht und siehe da, fast ganz oben.
Das zeigt mir, dass Anonymus lediglich zu faul war das auch zu tun.
Dafür gab es lediglich ein „Ja“.
Noch Fragen mortimer oder gibt es von Dir noch eine erschöpfende, subtile Antwort auf seine Frage?
Meine Antwort gefiel Dir ja scheinbar nicht. ;-)
wie kann ich dann sichergehen das mein iphone sich noch mit fremden pcs verbindet wenn ich es gerne hätte ?
zb.: neuer eigener pc ?
einfach passwort eingeben ? oder is es dann für immer für alles gesperrt außer dem einen ?
Gute Frage, interessiert mich auch? Und was ist zB wenn ich mein iPhone im Auto mit USB verwende, der Popup mit „Dem Computer vertrauen“, kommt der dann noch bzw funktioniert das dann noch?
Eventuell das Profil in den iPhone Einstellungen einfach manuell löschen.
Aber zurücksetzen könnte man es an einem anderen PC noch? Oder spricht das Gerät dann wirklich komplett nicht mehr über USB mit anderen Rechnern? Was, wenn ich meinen Rechner kaputt mache, mit dem das iPhone kommuniziert… ist es dann für immer verloren???
Wenn ich das richtig verstehe, sollte man hierbei aber besonderen Wert auf verfügbare Backups des Macs legen, oder?
Das Szenario, dass der Mac neu aufgesetzt werden muss, bei dem normalerweise „nur“ eine Neueinrichtung des iOS Geräts mit dem neuen iTunes stattfinden muss, würde dann in einem toten Ende resultieren? Zumindest, sofern die Kopplung der ausschließlichen Kommunikation mit dem Mac nicht per Cloud hinterlegt ist sondern an die bestehende Installation gebunden. Davon gehe ich aus, lasse mich aber gerne korrigieren, ich fand einfach keine konkrete Aussage dazu.
ich denke auf Rechnern mit dem Apple Configurator und deinem angelegten Konfigurationsprofil.
…
(a) den Apple Configurator kostenlos aus dem App Store zu laden,
(b) ein neues Konfigurationsprofil für das eigene Gerät zu erstellen und
(c) die Berechtigung “Verbindung mit Hosts ohne Configurator-Installation erlauben” zu deaktivieren….
Gemacht… bin ja öfter mal am Flughafen… :D
Verstehe ich nicht. Wenn ich mein 5s an einen fremden Rechner anschliesse fragt ein Dialog ob dem fremden Rechner vertraut werden soll – solange geht überhaupt nichts, Spezialsoftware hin oder her. Dieser Dialog erscheint nicht im Sperrbildschirm, man muss das iPhone also erst entsperren. Wie soll also jemand Zugriff bekommen, wenn er diesen Dialog nicht mit Ok bestätigen kann?
Indem er spezielle Software nutzt, die darauf ausgelegt ist, dein iPhone soweit wie möglich zu durchleuchten und diesen Dialog einfach umgeht. Das ist laut dem Vortrag wohl möglich.
Die Rede ist von Behörden und deren Software, also gehe ich mal davon aus, dass die das locker umgehen.
Was meinste was der Nette Typ am PC auf diese frage Antwortet wenn er DEIN iPhone ohne Dein Wissen an Sein Rechner anschliesst. „Nein!“ /ironie off
Lesen hilft! Nachdenken noch mehr…
Selten blöde Reaktion Futzi…!
Ich gebe zu, mir die PDF Datei (noch) nicht durchgelesen zu haben.
Woher weiß der Autor, daß dieser Haken die nicht öffentlichen Analysetools wirklich aussperrt? Auch heute nutzen diese Tools ja scheinbar irgendwelche (absichtlich oder unabsichtlich eingebauten) Hintertüren zum Auslesen der Daten. Für mich ist daher nicht automatisch garantiert, daß eine Option die „normale“ Anwender aussperrt, auch Regierungen fernhält.
Leute wer seid ihr, dass man sich gegen Regierungen sperrt? Wenn ihr nicht wollt das man „euch“ durchleuchtet, dann kauft euch kein Smartphones / elektronisches Gerät zum kommunizieren.
Mach mal die Augen auf und schau dich um… vllt hilft dir das Buch von George Orwell – 1984 bei der Beantwortung deiner Frage.
Ich mag es nun mal nicht, wenn Fremde ungefragt meine Sachen durchwühlen. Und wenn es wirklich so simpel ist, da einen Riegel vorzuschieben, werde ich das auch machen.
Ich sehe gut was abgeht und Orwell hat es nicht mal annähernd so beschrieben wie es heute wirklich ist. Aber was bringt euch eine beschissene Software die verschlüsselt, wenn doch alle auf Entschlüsselung setzen. Die einzige Lösung dafür ist auf die Straße zu gehen und dagegen zu demonstrieren ja sogar zu randalieren, damit endlich alle aufwachen.
obrigkeitsstaatliches denken – sehr weit verbreitet in deutschland. nein! nicht der staat soll uns kontrollieren. vielmehr müssen wir den staat konrollieren!
Da sperren sie sich gegen Durchleuchtungen von Regierungen und selbst ihr Postbote weiß über sie mehr durch die Post, die täglich abgeliefert wird (Versicherung, Bank, Auto, bevorzugte Geschäfte, Hobbies).
was für aufregung: ich verstehe es simpel so: wenn ich dies an meinem mac so einrichte wie auf dem bild bzw anleitung so kann kein rechner mein iphone auslesen. auch nicht mein eigener. bei der instalation war das schon nicht mehr erkannt bei itunes. um das wieder zu fixen. müsst ihr es wieder „aktivieren“ dann sollte das wieder gehen. versteht sich von alleine : )
Ich denke du hast das PDF nicht gelesen.
Servus,
ich will mein iPhone von 6.1.2 auf 7.1.2 updaten.
Dazu will ich es als neues konfigurieren und danach das Back-Up drüber schieben.
Ich habe meine Back-Ups verschlüsselt, aber das Passwort vergessen.
Brauche ich das Passwort für die Wiederherstellung?
Die kostenlose Version von diesem Elcosoft oder so ähnlich hat leider nicht einmal die Anfangsbuchstaben herausgefunden.
Ja. Sonst macht das Passwort keinen sinn.
Hätte ja sein können, dass iTunes das iPhone erkennt und deswegen das Passwort nicht benötigt.
Mach doch vor dem Update einfach ein neues Backup von dem Du das passwort weisst?
Dazu müste er ja Zugriff auf die Daten haben ;) Die Intention hinter der Idee ist mir klar, aber gehen tut das nicht. (Da du auch nach dem Backup noch das PW der AppleID kennen müsstest)
Das Passwort der Apple-ID kenne ich ja, nur das Passwort für das lokale BackUp weiß ich nicht mehr.
Alle Backups löschen, dann neues Passwort.
Die Installation eines Profils mit dieser Einstellung auf einem bereits konfigurierten Gerät ist recht sinnlos, da das Gerät sich dazu im „betreuten“ Modus befinden muss, welcher mit einem Reset des Gerätes verbunden ist und auch kein Backup danach eingespielt werden kann, da hier alle Einstellungen wieder überschrieben werden..
Unsinn… das Profil kannst du ganz normal installieren, kannst es sogar per Mail an das Gerät schicken !
…
Natürlich kannst du das, diese Einstellung greift dann aber nur bei betreuten Geräten!
Probiers doch aus.
Super Info, danke! Ein Grund mehr das zu knicken.
Die Bewertungen im AppleStore sind fast ausnahmslos negativer Natur.
Ich bin jetzt dem englischen nicht so mächtig.
Daher mal meine Frage: Wenn man dieses Profil nun verwendet, kann man trotzdem mit iPhone und iTunes am Hostcomputer normal synchronisieren? Oder muss man dafür immer dann das Profil löschen oder deaktivieren?
Gerade mal geladen, gleiche Erfahrung wie viele andere auch: Gerät wird im Apple Configurator schlicht nicht erkannt. Bockmist made by Apple, und so sehen die Bewertungen im MAS dann auch aus.
Jep. Es gab zu diesem Tool schon mehrfach umfangreiche Artikel in der c’t. Man liest die Einleitung und denkt sich ‚Geil, dieses oder jenes Feature brauche ich‘. Dann verzweifelt man schon beim Lesen des Artikels, und fragt sich wer allen Ernstes so einen unbedienbaren und unverständlichen Müll entwirft.
Ich verstehe die Frage nicht.
Der Apple Configurator ist für den Einsatz und Unternehmen und Instituten entwickelt worden, die häufig und/oder mit vielen iOS Geräten umgehen müssen. Er hilft bei Einrichtung von Massen an Geräten, installiert iOS Updates, überträgt Config-Profile, überspringt diese ganzen Einrichtungspunkte mit Apple-ID, Ortungsmodus und was es da nicht alles gibt, wenn man ein Gerät neu konfiguriert. Und er ist das einzige Werkzeug, mit dem man ein iOS-Gerät in den betreuten Modus versetzen kann.
Ich muss in meiner Firma mehr als 700 iOS-Geräte betreuen, ich wüsste gar nicht, was ich ohne Configurator machen sollte!
@ Piet: Der erkennt natürlich nur Geräte, die noch nicht konfiguriert wurden, also welche die gerade ausgepackt oder frisch zurück gesetzt wurden.
Wenn du 700 Geräte betreust hätte ich auch echt keine Lust das mit dem Konfigurator zu machen. Für sowas gibts MDM Server, entweder bei Meraki, Sophos und Co mieten, oder einen eigenen Mac Server dafür nehmen.
Klar kommt dann anschließend bei mir ein MDM-System zum Einsatz, ohne gehts bei der Masse nicht. Aber das ist ein anderes Thema.
Hier gehts um den Configurator, und der macht bei mir genau das, was er tun soll: Geräte konfigurieren.
Also Hut ab wer sich da durchkämpft. Sehr hilfreich ist bei rudimentären Englischkenntnissen die 50-Seitige Anleitung von Herrn Zdziarski auch nicht wirklich.
Zu diesem Thema wäre mal ein Anleitungsvideo nützlich. Nützlicher als diese „Wie-zerztöre-ich-ein-iPhone“-Videos. Anhand des Berichtes und der Kommentare wird mir noch immer nicht klar ob die Sache mit dem Entfernen des Häkchens problemlos erledigt ist oder ob es mit anderen Einschränkungen verbunden ist.
Bei der c’t liest sich das deutlich klarer. Wie ich schon vermutete muss das Pairing überhaupt erst ein Mal aktiv zugelassen werden, von einer Umgehung dieses ersten Schrittes ist keine Rede. Wer also eine gute Pin nutzt und > iOS7 kann sich den ganzen Kram sparen.
http://www.heise.de/newsticker.....63888.html
… dann holt sich die Behörde halt einfach per Beschluß den Host mit Configurator-Installation.