> > > > Verschlüsselte iTunes-Backups mit iOS 10 nicht sicher

Verschlüsselte iTunes-Backups mit iOS 10 nicht sicher

DruckenE-Mail
Erstellt am: von

iTunes LogoApples Hard- und Software ist eine beliebte Plattform für Angriffe. Auch wenn Apples Mechanismen dabei recht sicher sind, gibt es immer wieder Lücken in diesem Sicherheitsnetz und diese sorgen dann auch für Angriffe, wie zuletzt mittels NAND-Kopie. Wer sein iPhone oder iPad per Touch ID oder Codesperre versieht, fühlt sich meist recht sicher. Das ein vierstelliger Code aber keine unüberwindbare Hürde ist, sollte jedem klar sein.

Die Daten eines iPhone oder iPad sind aber nicht nur auf dem Gerät selbst in Gefahr, sondern auch die mittels iTunes erstellten Backups gehören geschützt. Apple lässt diese Backups daher mit einem Passwort versehen. Damit lassen sich auch sämtliche Passwörter und das neue Gerät übertragen. Im Zusammenspiel mit iTunes und iOS 10 wurde nun aber ein Problem bekannt, welches dafür sorgt, dass sich die verschlüsselten Backups relativ einfach entschlüsseln lassen.

Um das Passwort des iTunes-Backup zu knacken, wird – wie so oft – eine Brute-Force-Attacke angewendet. Das iPhone schützt sich gegen solche Angriffe durch eine Beschränkung der Versuche und auch verzögerte Intervalle, in denen eine neue Eingabe des Passwortes möglich ist. Offenbar gibt es nun aber zusätzlich ein Problem mit der Verschlüsselungsstärke. Dies soll dazu führen, dass die Verschlüsselung des iTunes-Backup um den Faktor 2.500 schwächer ist als zuvor. Mit iOS 9 konnten mit einem Intel-Core-i5-Prozessor 2.400 Passwörter pro Sekunde versucht werden. Mit GPU-Unterstützung (NVIDIA GeForce GTX 1080) sind es 150.000 Passwörter. Ein Intel Core i5 erreicht bei einem iOS-10-Backup 6.000.000 Passwörter pro Sekunde.

iTunes-Backups lassen sich mit iOS 10 recht einfach entschlüsseln
iTunes-Backups lassen sich mit iOS 10 recht einfach entschlüsseln

Der Grund liegt womöglich im verwendeten Hashing-Algorithmus. Bisher verwendete Apple den PBKDF2-Hashing-Algorithmus (Password-Based Key Derivation Function 2), eine Funktion die pseudozufällig zusammen mit einem sogenannten Salt dafür sorgt, dass auf das ursprüngliche Passwort nur schwer Rückschlüsse möglich sind. Mit iOS 10 und der aktuellen iTunes-Version wechselt Apple auf den SHA256-Hashing-Algorithmus und dieser wird nur in einer Iteration angewendet.

Apple ist sich laut Forbes dem Problem bewusst und arbeitet an einer Lösung:

"We're aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups," a spokesperson said. "We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption."

Derzeit empfiehlt man Nutzern den Zugang zum Rechner zu erschweren, um damit die relativ schwachen Backups zu schützen. Mit einem zukünftigen Update soll das Problem dann vollständig beseitigt werden.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (5)

#1
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Oberleutnant zur See
Beiträge: 1509
Ich finds toll wie sich solcher Probleme direkt angenommen wird.
Koennten sich andere Hersteller ne Scheibe von abschneiden :)
#2
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3461
Bei so einem geringen Marktanteil müssen sie dies tun.
Die Konkurrenz ist viel zu stark und teilweise Jahre vorraus.

Lustig finde ich den 1. Satz.
Wäre Apple auch nur hqlb so beliebt, wie der Apple-User uns weißmachen möchte, wären die Meldungen bezüglich Sicherheitslücke in xyz unser täglich Brot.
#3
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1677
Zitat p4n0;24945875
Ich finds toll wie sich solcher Probleme direkt angenommen wird.
Koennten sich andere Hersteller ne Scheibe von abschneiden :)


Solcher Probleme, die völlig unnötigerweise hausgemacht sind? Warum sind die denn von PBKDF2 auf nur eine Iteration SHA-2 runtergegangen? Scheint mir kein besonders cleverer Hersteller zu sein.
#4
Registriert seit: 30.04.2008
Civitas Tautensium, Agri Decumates
Bootsmann
Beiträge: 720
Zitat Don;24945021
Die Daten eines iPhone oder iPad sind aber nicht nur auf dem Gerät selbst in Gefahr, sondern auch die mittels iTunes erstellten Backups gehören geschützt. Apple lässt diese Backups daher mit einem Passwort versehen. Damit lassen sich auch sämtliche Passwörter und das neue Gerät übertragen.


Das ist der einzige Grund, wieso die Daten bei mir verschlüsselt sind.
Die Backups werden ausschließlich lokal gehalten und wenn jemand an die herankommt, ist er schon in meine Wohnung eingebrochen und hat die Verschlüsselung meines Macs geknackt oder das ganze Ding mitgehen lassen!
Da habe ich dann ganz andere Probleme als ein schwach verschlüsseltes iOS 10 Backup... :eek:
#5
Registriert seit: 27.12.2006
NRW
Bootsmann
Beiträge: 588
Gibt es tatsächlich noch user die ein lokales Backup machen? Mein letztes lokales Backup war irgendwann zu iPhone 4S Zeiten mit iOS5 oder so.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Unitymedia möchte Endkundenanschlüsse in öffentliche Wi-Fi-Hotspots umwandeln

Logo von UNITYMEDIA-LOGO

Der in Nordrhein-Westfahlen, Hessen und Baden-Württemberg aktive Kabelnetzprovider Unitymedia plant 1,5 Millionen Endkundenanschlüsse mit seinem WLAN-Router gleichzeitig in öffentliche Wi-Fi-Hotspots zu verwandeln. Wer als Kunde dabei mitmacht, bekommt unabhängig vom Standort, Tarif oder... [mehr]

ProSiebenSat.1 schaltet MyVideo ab (Update: MyVideo wird nur umstrukturiert)

Logo von IMAGES/STORIES/LOGOS-2013/PRO7SAT1MEDIA

Das Videoportal MyVideo wurde einst von der ProSiebenSat.1-Gruppe als Konkurrenz zu YouTube aufgebaut. Das Portal konnte sich gegen die amerikanische Konkurrenz jedoch nie wirklich durchsetzen – die Verantwortlichen ziehen nun den Stecker. Laut einer Meldung werde das Projekt vorübergehend... [mehr]

Routerzwang: Unitymedia nennt Details zum Einsatz eines eigenen Gerätes

Logo von UNITYMEDIA-LOGO

Ab dem 1. August 2016 wird der Routerzwang für die Internetanbieter endgültig Geschichte sein und die Kunden können dann auch eigene Geräte einsetzen. Während bei herkömmlichen DSL-Anschlüssen die Umstellung problemlos verlaufen dürfte, werden die Kunden bei Kabelanschlüssen etwas... [mehr]

FRITZ!OS 6.80 für die FRITZ!Box 7490 offiziell veröffentlicht (Update: nun...

Logo von IMAGES/STORIES/LOGOS-2013/AVM

Während das FRITZ!OS in der Version 6.80 schon seit einiger Zeit für die FRITZ!Box-Modelle 7580 und 7560 verfügbar ist, hat AVM nun auch für die FRITZ!Box 7490 den Startschuss freigegeben. Um vorneweg grobe Fehler zu vermeiden, wurden für die FRITZ!Box 7490 zuvor einige Beta-Versionen, so... [mehr]

10-GBit/s-Internetanschluss für Privatkunden in Estland

Logo von IMAGES/STORIES/LOGOS-2016/STARMAN

Immer wieder führen die Internetanbieter in Deutschland die bereits bestehende, gute Infrastruktur an, wenn es um die niedrigen Zahlen der FTTH/B/C-Anschlüsse geht. Dass es sich dabei größtenteils um Augenwischerei handelt und Anschlüsse mit mehr als 50 MBit/s weiterhin rar gesät sind, egal... [mehr]

Internet: Provider müssen zukünftig exakte Übertragungsrate angeben

Logo von IMAGES/STORIES/LOGOS-2015/HARDWARELUXX_NEWS_NEW

Bei den meisten Verträgen zwischen Kunden und Internetanbietern geben die Provider meist nur die maximal erreichbare Geschwindigkeit an. Ob die Übertragungsrate letztendlich am eigenen Anschluss erreicht wird, wird von den Anbietern nicht vertraglich zugesichert. Dieses Problem könnte sich... [mehr]