> > > > Verschlüsselte iTunes-Backups mit iOS 10 nicht sicher

Verschlüsselte iTunes-Backups mit iOS 10 nicht sicher

Veröffentlicht am: von

iTunes LogoApples Hard- und Software ist eine beliebte Plattform für Angriffe. Auch wenn Apples Mechanismen dabei recht sicher sind, gibt es immer wieder Lücken in diesem Sicherheitsnetz und diese sorgen dann auch für Angriffe, wie zuletzt mittels NAND-Kopie. Wer sein iPhone oder iPad per Touch ID oder Codesperre versieht, fühlt sich meist recht sicher. Das ein vierstelliger Code aber keine unüberwindbare Hürde ist, sollte jedem klar sein.

Die Daten eines iPhone oder iPad sind aber nicht nur auf dem Gerät selbst in Gefahr, sondern auch die mittels iTunes erstellten Backups gehören geschützt. Apple lässt diese Backups daher mit einem Passwort versehen. Damit lassen sich auch sämtliche Passwörter und das neue Gerät übertragen. Im Zusammenspiel mit iTunes und iOS 10 wurde nun aber ein Problem bekannt, welches dafür sorgt, dass sich die verschlüsselten Backups relativ einfach entschlüsseln lassen.

Um das Passwort des iTunes-Backup zu knacken, wird – wie so oft – eine Brute-Force-Attacke angewendet. Das iPhone schützt sich gegen solche Angriffe durch eine Beschränkung der Versuche und auch verzögerte Intervalle, in denen eine neue Eingabe des Passwortes möglich ist. Offenbar gibt es nun aber zusätzlich ein Problem mit der Verschlüsselungsstärke. Dies soll dazu führen, dass die Verschlüsselung des iTunes-Backup um den Faktor 2.500 schwächer ist als zuvor. Mit iOS 9 konnten mit einem Intel-Core-i5-Prozessor 2.400 Passwörter pro Sekunde versucht werden. Mit GPU-Unterstützung (NVIDIA GeForce GTX 1080) sind es 150.000 Passwörter. Ein Intel Core i5 erreicht bei einem iOS-10-Backup 6.000.000 Passwörter pro Sekunde.

iTunes-Backups lassen sich mit iOS 10 recht einfach entschlüsseln
iTunes-Backups lassen sich mit iOS 10 recht einfach entschlüsseln

Der Grund liegt womöglich im verwendeten Hashing-Algorithmus. Bisher verwendete Apple den PBKDF2-Hashing-Algorithmus (Password-Based Key Derivation Function 2), eine Funktion die pseudozufällig zusammen mit einem sogenannten Salt dafür sorgt, dass auf das ursprüngliche Passwort nur schwer Rückschlüsse möglich sind. Mit iOS 10 und der aktuellen iTunes-Version wechselt Apple auf den SHA256-Hashing-Algorithmus und dieser wird nur in einer Iteration angewendet.

Apple ist sich laut Forbes dem Problem bewusst und arbeitet an einer Lösung:

"We're aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups," a spokesperson said. "We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption."

Derzeit empfiehlt man Nutzern den Zugang zum Rechner zu erschweren, um damit die relativ schwachen Backups zu schützen. Mit einem zukünftigen Update soll das Problem dann vollständig beseitigt werden.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (5)

#1
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Kapitänleutnant
Beiträge: 1904
Ich finds toll wie sich solcher Probleme direkt angenommen wird.
Koennten sich andere Hersteller ne Scheibe von abschneiden :)
#2
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3758
Bei so einem geringen Marktanteil müssen sie dies tun.
Die Konkurrenz ist viel zu stark und teilweise Jahre vorraus.

Lustig finde ich den 1. Satz.
Wäre Apple auch nur hqlb so beliebt, wie der Apple-User uns weißmachen möchte, wären die Meldungen bezüglich Sicherheitslücke in xyz unser täglich Brot.
#3
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1835
Zitat p4n0;24945875
Ich finds toll wie sich solcher Probleme direkt angenommen wird.
Koennten sich andere Hersteller ne Scheibe von abschneiden :)


Solcher Probleme, die völlig unnötigerweise hausgemacht sind? Warum sind die denn von PBKDF2 auf nur eine Iteration SHA-2 runtergegangen? Scheint mir kein besonders cleverer Hersteller zu sein.
#4
Registriert seit: 30.04.2008
Civitas Tautensium, Agri Decumates
Leutnant zur See
Beiträge: 1051
Zitat Don;24945021
Die Daten eines iPhone oder iPad sind aber nicht nur auf dem Gerät selbst in Gefahr, sondern auch die mittels iTunes erstellten Backups gehören geschützt. Apple lässt diese Backups daher mit einem Passwort versehen. Damit lassen sich auch sämtliche Passwörter und das neue Gerät übertragen.


Das ist der einzige Grund, wieso die Daten bei mir verschlüsselt sind.
Die Backups werden ausschließlich lokal gehalten und wenn jemand an die herankommt, ist er schon in meine Wohnung eingebrochen und hat die Verschlüsselung meines Macs geknackt oder das ganze Ding mitgehen lassen!
Da habe ich dann ganz andere Probleme als ein schwach verschlüsseltes iOS 10 Backup... :eek:
#5
Registriert seit: 27.12.2006
NRW
Leutnant zur See
Beiträge: 1280
Gibt es tatsächlich noch user die ein lokales Backup machen? Mein letztes lokales Backup war irgendwann zu iPhone 4S Zeiten mit iOS5 oder so.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Logo von IMAGES/STORIES/2017/DNS-1111

Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

Schweizer ISP bietet 10 GBit/s für 34 Euro

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]

Landesmedienanstalt NRW fordert weitere Streamer auf Rundfunklizenzen zu...

Logo von IMAGES/STORIES/2017/LANDESMEDIENANSTALT

Die Landesmedienanstalt NRW verschickt aktuell wieder Briefe an Streamer im deutschen Bundesland. In der Vergangenheit wurden von der Behörde bereits bekannte Let‘s-Player wie Gronkh und PietSmiet aufgefordert eine Rundfunklizenz zu beantragen oder andernfalls mit hohen Bußgeldern zu... [mehr]

AVM liefert FRITZ!Box 6591 Cable mit DOCSIS 3.1 aus

Logo von IMAGES/STORIES/2017/AVM

AVM hat damit begonnen, die ersten Exemplare der FRITZ!Box 6591 Cable auszuliefern. Der Hersteller hat seinen neusten Kabel-Router schon vor einigen Monaten vorgestellt und setzt diesen nun im Politbetrieb bei Unitymedia ein. Der Kabelnetzbetreiber hat in Bochum das Kabelnetz bereits auf den neuen... [mehr]

250 Megabit für 15 Millionen: Deutsche Telekom will Super-Vectoring zügig...

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während die Bundesregierung den Internet-Ausbau weiter auf die lange Bank schieben will, möchte die Deutsche Telekom schneller als erwartet Fakten schaffen. Schon bis zum Jahresende sollen 15 Millionen Haushalte an das Super-Vectoring-Netz angeschlossen werden. Freuen dürfen sich vermutlich aber... [mehr]