Fraunhofer: iPhone verloren? Passwort verloren! (Video)
Das Fraunhofer Institut und Expertisen zum Thema iPhone-Sicherheit? Eine bekannte und geschätzte Kombination die mit dem heute veröffentlichen Studien-Papier „Lost iPhone? Lost Passwords!“ (PDF) einmal mehr auf sich aufmerksam macht. So demonstrieren die beiden Forscher der SIT-Abteilung Jens Heider und Matthias Boll (SIT steht hier für Secure Information Technology) ein Angriffszenario auf das iPhone bei dem sich mit Hilfe der Web-weit verfügbaren Jailbreak-Werkzeuge die im iPhone hinterlegten Passwörter trotzt aktivierter Passcode-Sperre auslesen lassen (Youtube-Demonstration). In der Pressemitteilung des Fraunhofer schreibt Oliver Küch.
[…] Der Angriff ist bei jedem Gerät mit dem iOS-Betriebssystem möglich, unabhängig vom verwendeten Kennwort des Benutzers. Sobald ein Angreifer im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten z.B. sozialen Netzwerken, muss der Angreifer einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer. […]
Sehr bedenklich!
Wen wuderts? Wenn jemand deinen Computer klaut bekommt er auch Zugang zu allem was drauf gespeichert ist…
Gilt das auch für in 1Password gespeicherte Passwörter?
na hoffentlich nicht, die werden ja von 1Password verschlüsselt abgelegt…
Hoffe ich auch :-/
Is bei nem pc eig auch net anders
Ja sicher…
Aber den PC „verliert“ man wesentlich seltener…
weißt du was ein Laptop / MacBook ist?
(sehr beliebt bei sogenannten „Dieben“)
@D
PC / LAPTOP
Merkst was? Wird nicht nur anders geschrieben, sind auch verschiedene Geräte.
;-)
@kleinesA
PC steht für Personal Computer
Also persönlicher Computer dadurch zählen auch Laptops zu den PCs
Bei einem PC (oder Notebook) kannst Du aber wenigstens die Festplatte verschlüsseln. Neuere Windows-Versionen z.B. verschlüsseln auch (relativ effektiv) die Nutzer-Daten, in der u.a. die WLAN-Schlüssel gespeichert werden.
Darüber hinaus gibt es sichere Password-Safes…
Das ist dann wohl der „angepasste jailbreak“ von dem bei heise in Zusammenhang mit online banking die Rede war.
toll wenn ich mein Notebook verlier kann man da auch die passwort-Sperre knacken. Nur Panikmache!
Klar, im Prinzip ist es genau die gleiche Situation. Mein Notebook-Passwort kann ja durch ausbau der Festplatte auch umgangen werden. (Außer ich habe die Festplatte verschlüsselt, aber wer macht sich diese Mühe…)
TrueCrypt – Kost nix und macht keine Mühe außer einmal simpel einrichten. Von da an nur ein Passwort zum Rechnerstart und das war’s.
Einfach nicht verlieren punkt
Und falls doch verloren, dann Fernlöschen!
Nach Ersatz oder Fund: Wiederherstellen!
Und? kann das Nokia, HTC, RIM….?
Htc kan… ;-)
Fernlöschen? Funktioniert nur bei bestehender Internetverbindung. Wenn jemand die Daten klauen will, dann macht er als erstes das iPhone aus und entfernt die SIM-Karte. Dann war’s das auch mit dem Fernlöschen…
RIM kann das sehr gut sogar und bleibt nach eingehender Tests erste Wahl bei uns im Unternehmen. Das iPhone ist bei uns für unternehmenskritische Daten unbrauchbar bei Exchangeintegration von mehreren hundert Benutzerkonten!
RIM kann, SIM tausch egal!
Fernlöschen funktioniert aber nur, wenn man dieses MobileMe hat, sonst auch nicht.
Ob da RIM wohl den ein oder anderen Euro an das Fraunhofer Institut hat fließen lassen. Schelm ist, wer da böses denkt. Ich denke es muss nicht erwähnt werden, dass jedes von Menschenhand gesicherte auch wieder von eben jener solchen wieder entsichert werden kann…
Hat da die Konkurenz Angst vor dem aufkeimenden Stellenwert des iPhones im Business-Segment…???
Ja wir leben in einer unmittelbaren Gefahr. Lol
Also, wenn mal wieder das iPhone futsch ist und es selbst über die MobileMe Funktion nicht finden lässt ist nicht nur die Handykarte zu sperren, sondern auch gleich online die ganzen Kennwörter für Email, Banken, Netzwerke und iTunes ändern. Hmmmm, gut zu wissen!
Zuerst war ich geschockt, nach dm Video doch wieder entspannt. Es gehört wohl ein wenig mehr kriminelle Energie dazu vom Finder und viel Pech vom Verlierer!
Mir macht es keine Angst!
Grüße
Schönen dank an die Jailbreak Szene…
Sicherheitslücken veröffentlichen die jede Software/ jedes OS besitzt damit jeder kleinganove scheisse bauen kann…
DANKE!
Heul doch
Meine Güte – es wird nicht gleich jeder fündige versuchen deine Passwörter zu finden
Und wenn er es gewollt hätte, hätte er auch so das nötige Know-How gehabt oder jmd. gefunden, der es hat…
Jep
Lücken die schon da sind
Da können die jailbreaker nichts für
Vorallem ermöglicht das Publikmachen der Sicherheitslücken das Schließen derselben. Das ist einer der positiven Effekte des Jailbreaks.
Wer weiß das nicht? Aber der Finder muss erst mal Interesse an deinem iPhone + Passwörter haben. In 99% der Fälle freut sich der Finder über iPhone und verkauft oder benutzt es.
Das bedenkliche Szenario: du bist Entscheidungsträger einer Firma und der Diebstahl deines iPhone hilft der Konkurrenz an wichtige Informationen zu kommen. Aber hier gibt’s auch andere mtheifen an wichtige Daten zukommen.
Zwar bedenklich aber trotz alledem: was ist wo heutzutage sicher?
Ich renne ja auch nicht zur Bank und hole immer bei gehaltseibgang mein ganzes Geld und Verstecke es unterm Kopfkissen in der Hoffnung es vermehrt sich.
Also ich weiß nicht, wie es euch geht, aber ich würde ohnehin, wenn ich mein iPhone verloren haben, rein prophylaktisch alle (wichtigen) Passwörter zurücksetzen. Ganz egal wie schwer oder einfach nun jemand an meine gespeicherten Passwörter rankommen könnte.
Hey,
„die Forscher der SIT-Abteilung“ ist einfach mal absolut falsch! Es handelt sich um das Fraunhofer-Institut für Sichere Informationstechnologie (SIT). DAS Fraunhofer-Institut gibt es nicht, nur eine Fraunhofer-Gesellschaft. Die Institute an sich sind aber eigenständig.
Wenn man Quellen nennt, dann bitte auch korrekt.
(Woher ich das alles weiß? Ich arbeite da zufällig.)
Grüße,
Katharina Franz
What one man can build, another one can destroy.
Nichts ist sicher, soviel ist sicher;)
Guter Spruch :)
Toll. Und jetzt? IPhone schnell für 59,-€ in die Bucht hauen, oder wie? Mit so ’nem sch**ss verbringen die deren Zeit?
Demnächst haben die warscheinlich auch noch ein Tool erfunden, welches den Simlock von einem alten Sagem-Handy entfernt, was?
Die sollen mal lieber an etwas tüfteln was für die Sicherheit der Menschheit hilfreich ist, dass so etwas wie z.B. in Moskau nicht noch mal passiert!
Das ist jetzt nicht dein Ernst. Selten etwas so unglaublich dämliches gelesen. Alle Vorzüge der Technik geniessen aber sobald dir was nicht gefällt mit einem weltverbesserungs Argument ankommen. Vielleicht solltest du auch mal etwas sinnvolles mit was mit deiner Zeit anfangen!!!
Du hast es zum Teil richtig erfasst, ich geniesse die Vorzüge der Technik, ja klar. Aber ich habe keine sicherheitsrelevanten Sachen auf meinem Handy die meine Existenz ruinieren könnten! Wenn ich’s verliere, kaufe ich mir ein neues! Alles ist nun mal ausspähbar! Das sollte aber jedem schon klar sein, da braucht man keine Forscher für!
Und alles Andere an Daten sind für mich Einsen und Nullen.
Und jetzt argumentiere mir mal bitte den Sinn von diesem – zum Teil aus unseren Steuergeldern finanzierten – „Forschungsergebnis“!
Ei mir weden die videos nicht gespielt
Seit ich 4.2.1 habr
Hab bzw. hatte ich auch. Einfach nochmal auf den “Ladekringel” tippen/doppeltippen. Meistens klappt es dann recht flott. Komisch ist das aber schon…
Bei mir funkt es bestens, habe auch kein Jailbreak drauf.
Eine kleine Einschränkung: Mit dem iOS 4 hat Apple die Möglichkeit gegeben, dass Entwickler ihren Apps beibringen ihre Daten im Dateisystem zusätzlich zu sichern. Die Attribute lauten kSecAttrAccessibleWhenUnlocked und NSFileProtectionComplete. (Was übrigens auch im Artikel auf heise erwähnt wurde)
Ohne Passcode können die Daten dann nicht über den Exploit im oben genanntem Artikel entschlüsselt werden.
Von Apples eigenen Anwendungen beim iOS tun das Safari und Mail. Auf Webseiten gespeicherte Passwörter und die Passwörter der Mail-Addressen können also nicht „mal eben“ ausgelesen werden. (Es sei denn man benutzt alternative Browser und Mail Clients die davon keinen Nutzen machen)
Nur sollte Apple noch ähnliches noch beim WiFi und Co implementieren. Außerdem sollten alle Entwickler von Apps die mit sensiblen Daten umgehen darauf zurückgreifen.
—
Was das Thema Jailbreak angeht:
Die Hacker die sich dem Jailbreak des iOS widmen sind nunmal etwas egoistisch und hoffen auf persönlichen Ruhm. Sie versuchen dem Hersteller möglichst lange vor zu enthalten wo eine Lücke besteht um selbst Ruhm zu ernten. Während anderweitig viele Hacker Lücken suchen und bei Fund dem Entwickler mitteilen, damit dieser sie schließt wird hier alles daran gesetzt es Apple möglichst schwer zu machen die Lücke schnell zu schließen.
Die Möglichkeit des Jailbreak an und für sich ist – defakto – ein stetes Sicherheitsrisiko für jeden der sein iOS Device verliert, bzw. dem es gestohlen wird.
Da der Zweck jedoch die Mittel gerne heiligt schert das die wenigsten und solange die Hacker dafür hochgejubelt werden und befürwortende Stimmen bekommen werden sie so wie bisher weitermachen. Sich darüber aufzuregen hilft also nicht.
Aber man soll sein iOS Device ja auch nicht rumliegen lassen…
…und außerdem…
…wenn man es verliert, einfach direkt wipen und gut. Dann braucht man auch keine Angst davor haben das jemand über einen Jailbreak die persönlichen Daten klaut. Und man braucht ergo auch keine Angst vor der Existenz eines Jailbreak haben.
Find das schon bedenklich. Auch wenn dadurch nicht mein Leben in gefahr ist. Aber im Schlimmsten fall ergeben sich dadurch rennereien die aber nachweislich geklärt werden können. Aber das iPhone ja deshalb nicht schlechter als alle anderen. Glaub das klappt mit Know How auch bei Android und Co.
Bei Android lassen sich zurzeit Teile des Dateisystems durch eine entsprechend präparierte Webseite auslesen (es sind alle Versionen einschließlich 2.2 betroffen, bei 2.3 wurde der Fehler von Google halbherzig behandelt und der patch lässt sich umgehen womit weiterhin große Teile des Dateisystem offen bleiben). Man muss das Gerät also nichtmal verlieren, sondern sich nur auf die falsche Website verlinken lassen.
Was die Sicherheit angeht haben also Apple sowie Google nachzubessern.
Nun gut, bei diesem Problem beim iOS lässt sich das Problem Gott sei dank leicht behandeln. Verliert man sein iPhone einfach data-wipe und gut.
remote >> kill! fertig!!!
immer diese sicherheitsleier. wenn man heute sein portemonnaie verliert ist das wohl nur noch ez shit oder was???
100% sicherheit gibts halt nirgends. aber man kann es einem potentiellen „dieb“ halt so schwer wie möglich machen das er einfach die lust verliert.
ausserdem weiß man das man seine passwörter in regelmässigen abständen ändern soll oder etwa nicht???
also leute nix ist so sicher wie das amen in der kirche…
Klingt nicht gut.
Aber, wenn mein iPhone weg wäre, würde ich es schleunigst fern löschen.
Wer nen Klapprechner hat, muss das Ding nur mit TrueCrypt dichtmachen. Dann kann der geklaut werden und was auch immer, aber die Infos auf der Platte sind absolut sicher. Ein gutes Gefühl.
Aber beim iPhone kann ich leider nicht den kompletten Speicher verschlüsseln…
Das iPhone arbeitet mit einer 256Bit AES Verschlüsslung. Das geschieht über eine Hardwareverschlüsslung. Kann man auf apple.com nachlesen.
Gilt für das 3GS und 4er.
Hier ist das Problem, dass die Verschlüsselung in dem Fall nichts bringt.
Lösung: Apple wird im übernächsten Update einfach alles im sicheren Bereich speichern. Entwickler, wie 1Password und andere Apps, die wichtige Daten speichern, machen das ehe schon.
Für Nicht-Jailbreak Nutzer, ist sowas ärgerlich. Aber so ist das mit einem beliebten Gerät. Da suchen viele, nach Lücken. Aber sehe das, eher gelassen. Gut, dass wir einfach Updates einspielen können.
Bei Android, müssen die Leute mit Sicherheitslücken leben. Davon mal ab, ist die MSD ehe unverschlüsselt. Also da geht es noch einfacher.
Ja gut, dann wollen wir mal ganz pingelig sein ;o)
Wenn wir schon von dem Fall reden „iPhone verloren und zu doof zum wipe“ dann müssen wir beim Computer mit TrueCrypt verschlüsseltem Volumen auch von „gestohlener Computer von jemand der sich die Backdoorsoftware zum Auslesen des Speichers und segmentieren des Passworts besorgt hat“.
Ja, TrueCrypt hat eine Backdoor die für Behörden gedacht wurde (um Zugriff auf die Daten beschlagnahmter Rechner zu erlangen). Diese Software wird wohl auch an Privatermittler/-detektive weitergegeben (laut Aussage des Vorsitzenden von Passware, Inc). Kann also auch theoretisch in die falschen Hände gelangen.
Merke: Das iPhone verschlüsselt nicht nur in 256bit AES wie gado richtig angemerkt hat, sondern hat auch einen remote wipe :o)
TrueCryt hat keine Backdoor… Wer sowas behauptet sollte zumindest einen Beweis bzw. Quelle mitliefern…
http://www.presseportal.de/mob.....nr=1587468
So what?
@Pazuzu: Tut mir leid, aber das ist Blödsinn.
Wo steht in Deiner Quellenangabe (also dem zitierten Werbetext eines nicht sehr bekannten Unternehmens), daß Truecrypt eine Backdoor enthält?
@all: Bitte redet es Euch doch nicht schön: Die von Apple gelieferten Funktionen, um die Daten eines (verlorenen) Iphones zu schützen, sind derzeit offenbar recht leicht umgehbar. Das ist schlecht und – leider- mit ein Grund, warum man das Iphone in Firmen ungerne als mobiles Gerät zuläßt.
Ich hoffe, Apple bessert sehr bald nach.
Und das Argument „einfach remote wipen, wenn mans verliert“, wurde weiter oben schon ausgehebelt: Wer das Iphone findet, der schaltet es aus und entnimmt zunächst die SIM-Karte. Und jetzt kommt ihr…
Viele Grüße,
bfg
Nun, korrekt, es ist weniger eine Backdoor als einfach nur ein Exploit. Egal, wie man es dreht und wendet, TrueCrypt bietet ebenfalls keine hundertprozentige Sicherheit. Es ist eher unkompliziert an die nötige Software zum Entschlüsseln zu gelangen.
Ich für meinen Teil will eigentlich nur sagen, dass fast nichts wirklich sicher ist.
Hallo Pazuzu,
also wenn Truecypt so einfach „knackbar“ wäre – immerhin benutzt es bisher ungeknackte, brachenweit als sicher geltende Verschlüsselungs-Algorithmen – wäre mittlerweile schon ein Aufschrei durch die „Sicherheits-Szene“ gegangen. Ich glaube dem Unternehmen daher nicht, daß ihm dieser Coup gelungen ist.
Hast Du noch andere Quellen, die bestätigen, daß es einen funktionierenden Exploit für Truecrypt gibt?
In England (nach meiner Erinnerung war es dort) ging vor kurzem mal eine Mensch in Beugehaft, weil er seinen Rechner mit Truecrypt geschützt hatte und das Paßwort nicht herausgeben wollte. Hätten die Behörden TC so leicht umgehen können, wie von Dir geschildert, hätten sie das sicher auch getan.
Viele Grüße,
bfg
Also hab mal den TrueCrypt kram etwas recherchiert und es scheint als ob das Tool nur funktioniert, wenn der Computer noch läuft und ne Firewire-Schnittstelle hat…
Das dürfte das ganze ein wenig relativieren.
Naja, diese Möglichkeit des Crackens ist schon recht beängstigend.
Aber was Ware denn die perfekt alternative?? Keine Email bzw irgendwelche Passwort-verwendende Dienste nutzen??
Egal welche Software oder hardware, gefranzt werden kann’s im Zweifel immer, nur der Aufwand sollte möglichst hoch sein um abzuschrecken, was ja hier wohl noch gegeben ist.
*gecrackt nich gefranzt, dumme autokorrektur..
Gefranzt? Ich würd es lieber horsten oder klausen, das kommt besser :-D
Was Mail und Safari angeht kann ich dich schonmal beruhigen, die sind größtenteils vor dem oben benanntem Problem sicher. Einige andere Apps von Drittherstellern ebenfalls (mittlerweile z.B. 1Password).
panikmache, vorgeführt unter einsatz von windows, den sichersten betriebssystem der welt!
Meine Güte – wir sind verloren :(
Wenn einer wo rein will, kommt er rein,..
war, ist und bleibt so,..
völlig unnütz so Berichte..
Nichts ist wirklich sicher..
Unnütz ist dein Kommentar! Den Schlüsselbund auf dem iPhone so einfach zu knacken ist bedenklich, auch wenn das in deine kleine Rübe nicht reingeht.
Ich hab grad keine Möglichkeit des Video mit Ton anzuschauen…
Wie sieht es aus, wenn das Iphone schon gejailbreaked ist und ich meine root passwörter geändert habe (mobile und normales root).
Hauen die einfach ein Jailbreak drüber und es ist wieder standard: „alpine“ oder wie?
Brauchen die zum auslesen die root passwörter?
An sich find ich die ganze sache nicht weiter schlimm, darauf kommen die wenigsten… meist wird das hände zurückgesetzt und selbst benutzt oder verkauft.
Mein Gott beim iPhone muss immerhin erstmal noch gejailbreakt werden ich denke an mein altes Windows smartphone … Also was soll’s Risiko is immer