iOS 11 und iPhone X unterstützt
GrayKey: Software für 15.000 Dollar soll aktuelle iPhones knacken
Mit GrayKey bietet ein bislang unbekanntes Unternehmen namens Grayshift eine Lösung zum Entsperren von iPhones an. Die Software soll Zugriff auch auf die neusten iPhone-Modelle ermöglichen und momentan iOS 11 und iOS 10 unterstützen, an der Kompatibilität mit iOS 9 werde gearbeitet.
Bilder: depositphotos.com
Die Meldung des Wirtschaftsmagazins Forbes kommt nur eine Woche nach dem Hinweis auf den israelischen Anbieter Cellebrite, der offenbar über ähnliche Möglichkeiten verfügt. Wenngleich zu den Verfahrensweisen beider Unternehmen nichts bekannt ist, wird davon ausgegangen, dass deren Werkzeuge die zeitliche Begrenzung bei der Code-Abfrage umgehen und mit sogenannten Brute-Force-Angriffen – also vielen Code-Abfragen innerhalb kürzester Zeit – den richtigen PIN erraten. Dies dürfte bei vierstelligen numerischen Codes mit vergleichsweise geringem Aufwand verbunden sein, ein komplexer alphanumerischer Code sollte dagegen weiterhin hohen Schutz bieten.
Grayshift wurde Forbes zufolge von ehemaligen Mitarbeitern der US-Geheimdienste und einem zuvor bei Apple beschäftigten Sicherheitsingenieur gegründet. Das Unternehmen bietet sein Tool in einer „kleinen Version“ zum Preis von 15.000 Dollar an, mit der sich bis zu 300 Geräte entsperren lassen und die zwingend eine Onlineverbindung erfordert. Eine ohne Einschränkungen nutzbare Vollversion soll 30.000 Dollar kosten. Grayshift bewirbt seine Software offenbar auf einschlägigen Portalen und in geschlossenen Diskussionsgruppen.
Mit dem Werbespruch „We know how to break things that are thought to be unbreakable“ spricht Grayshift ein Thema an, das bereits im Zusammenhang mit deren Konkurrenten Cellebrite für heiße Diskussionen gesorgt hat. Die Unternehmen besitzen offenbar Informationen über Schwachstellen in iOS und nutzen diese für ihre Zwecke aus. Dies widerspricht der klassischen Hacker-Ethik, die verantwortlichen Unternehmen auf solche Fehler hinzuweisen, um die Produktsicherheit zu verbessern. Dank dem Interesse insbesondere von Regierungsbehörden an derartigen Lösungen lässt sich damit dann wohl auch ganz gut Geld verdienen.
Dann kauft mal und macht einen Test.
PINs sind sechstellig. Vierstellig ist schon länger vorbei ;)
*sechsstellig
Nein man kann weiter 4stellige verwenden
bevor man nen kommentar schreibt, könnte man sich ja informieren. ;-) standardmäßig wird inzwischen zwar 6-stellig gefordert, man kanns aber immer noch selbst auf 4-stellig umstellen.
Schon klar, aber wenn man bewusst auf vierstellig wechselt entfernt man sich vom Standard. Daher würde ich hier eben auf sechsstellig referenzieren.
6-stellig ist bei mir seit Jahren vorbei.
Mit dem nächsten Update nutzlos. Gerade wenn es Apple erfährt. Aber da etwas dran ist, würde mich dennoch interessieren. Und ja, ich bin der Meinung es gibt sicherlich schlauere Köpfe als bei Apple. Aber an sich fühle ich mich auf dem ios doch recht sicher!
Wieso sollte es mit dem nächsten Update nutzlos werden? Solange Apple nicht rausfindet, wie genau sie das System angreifen, kann Apple auch nichts patchen. Sollten Sie die iPhones tatsächlich mittels Brutforce angreifen, bringt auch ein iOS Update nichts. Jemand der glaubt sensible Informationen seinen auf einem iOS absolut sicher, ist ziemlich naiv. Jede Verschlüsselung lässt sich irgendwann knacken. Wenn nicht heute, dann ein paar Jahre später.
Das One-Time-Pad ist unknackbar
@andre: Wieso sollte es mit dem nächsten Update nutzlos werden?
Ganz einfach. Indem Apple den Scheiss „verdeckt“ kauft und dann checkt wie das Ding arbeitet. Oder denkst Du die sehen tatenlos zu? Ganz abgesehen davon das ich persönlich nicht immer so recht glaube was da oftmals angepriesen wird.
Gibt es die Software auch im Mac Appstore? ;)
Ja unter dem Pseudonym Blue Movie und ist als ErotikPlayer getarnt. :-p
Ok, entsperren wird man damit können, aber nicht das Gerät aus der Cloud löschen. Damit wirklich nur für Behörden und Detektive interessant, nicht für andere Kriminelle, die ansonsten geklaute Handys einfacher verwerten könnten.
50€/gerät ist schon ein Schnäppchen. Ich hätte mit dem 10-Fachem gerechnet
kann man nicht auch einen alphanumerischen Code verwenden? Muss halt jeder selber wissen ob Comfort oder Sicherheit an oberster Stelle steht. Immerhin muss der Code jedes Mal eingegeben werden wenn Face ID nicht geht. Kann schon lästig sein wenn der Code zu komplex ist.
Frage der Gewohnheit. Ich nutze schon lange einen alphanumerischen Code, inkl. Zahlen und Sonderzeichen. Klar ist das nervige Tipperei, beschäftigt mich aber letztlich ja nicht sehr oft, da ja der Fingerabdruck zumeist reicht.
Ein ehemaliger Apple-Sicherheitsingenieur… so so.
Günstiger geht es ja für Apple dann gar nicht … 15000-30000$ für ein Schwachstelle die man dann analysieren danach reparieren kann… :) die Belohnung für die Meldung dieser Schwachstelle wäre wohl teurer gewesen.
Meiner Meinung nach sollten Sicherheitsmitarbeiter ihr wissen dann im späteren Leben niemals gegen die Firma einsetzen, das finde ich gar nicht gut. Jedenfalls nicht wenn es die Sicherheit der Allgemeinheit betrifft … bei Snowden mache ich eine Ausnahme. :)
Jetzt wär noch interessant ob man ein ios9 Gerät ohne Zugangscodes, also ohne Einverständnis des Besitzers, updaten kann auf die knackbare neuere Version.
Nein, vor jedem Update wird dein PIN benötigt.
Wenn ich mich nicht täusche.
Ich würde mir wünschen, Apple kauft sich eine Lizenz, disassembliert, und macht iOS12 dicht, im Idealfall nachhaltig gegen jede vergleichbare Methode. So widerwärtig solche Firmen sind, die Geld mit sowas machen als Lücken zu veröffentlichen so dass sie geschlossen sind so sehr wünsche ich mir, dass die Soft nach dem nächsten Update so dicht gemacht wird und die Firma im Idealfall mit Gepolter Konkurs geht.