> > > > Verschlüsselte iTunes-Backups mit iOS 10 nicht sicher

Verschlüsselte iTunes-Backups mit iOS 10 nicht sicher

Veröffentlicht am: von

iTunes LogoApples Hard- und Software ist eine beliebte Plattform für Angriffe. Auch wenn Apples Mechanismen dabei recht sicher sind, gibt es immer wieder Lücken in diesem Sicherheitsnetz und diese sorgen dann auch für Angriffe, wie zuletzt mittels NAND-Kopie. Wer sein iPhone oder iPad per Touch ID oder Codesperre versieht, fühlt sich meist recht sicher. Das ein vierstelliger Code aber keine unüberwindbare Hürde ist, sollte jedem klar sein.

Die Daten eines iPhone oder iPad sind aber nicht nur auf dem Gerät selbst in Gefahr, sondern auch die mittels iTunes erstellten Backups gehören geschützt. Apple lässt diese Backups daher mit einem Passwort versehen. Damit lassen sich auch sämtliche Passwörter und das neue Gerät übertragen. Im Zusammenspiel mit iTunes und iOS 10 wurde nun aber ein Problem bekannt, welches dafür sorgt, dass sich die verschlüsselten Backups relativ einfach entschlüsseln lassen.

Um das Passwort des iTunes-Backup zu knacken, wird – wie so oft – eine Brute-Force-Attacke angewendet. Das iPhone schützt sich gegen solche Angriffe durch eine Beschränkung der Versuche und auch verzögerte Intervalle, in denen eine neue Eingabe des Passwortes möglich ist. Offenbar gibt es nun aber zusätzlich ein Problem mit der Verschlüsselungsstärke. Dies soll dazu führen, dass die Verschlüsselung des iTunes-Backup um den Faktor 2.500 schwächer ist als zuvor. Mit iOS 9 konnten mit einem Intel-Core-i5-Prozessor 2.400 Passwörter pro Sekunde versucht werden. Mit GPU-Unterstützung (NVIDIA GeForce GTX 1080) sind es 150.000 Passwörter. Ein Intel Core i5 erreicht bei einem iOS-10-Backup 6.000.000 Passwörter pro Sekunde.

iTunes-Backups lassen sich mit iOS 10 recht einfach entschlüsseln
iTunes-Backups lassen sich mit iOS 10 recht einfach entschlüsseln

Der Grund liegt womöglich im verwendeten Hashing-Algorithmus. Bisher verwendete Apple den PBKDF2-Hashing-Algorithmus (Password-Based Key Derivation Function 2), eine Funktion die pseudozufällig zusammen mit einem sogenannten Salt dafür sorgt, dass auf das ursprüngliche Passwort nur schwer Rückschlüsse möglich sind. Mit iOS 10 und der aktuellen iTunes-Version wechselt Apple auf den SHA256-Hashing-Algorithmus und dieser wird nur in einer Iteration angewendet.

Apple ist sich laut Forbes dem Problem bewusst und arbeitet an einer Lösung:

"We're aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups," a spokesperson said. "We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption."

Derzeit empfiehlt man Nutzern den Zugang zum Rechner zu erschweren, um damit die relativ schwachen Backups zu schützen. Mit einem zukünftigen Update soll das Problem dann vollständig beseitigt werden.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (5)

#1
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Kapitänleutnant
Beiträge: 1698
Ich finds toll wie sich solcher Probleme direkt angenommen wird.
Koennten sich andere Hersteller ne Scheibe von abschneiden :)
#2
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3668
Bei so einem geringen Marktanteil müssen sie dies tun.
Die Konkurrenz ist viel zu stark und teilweise Jahre vorraus.

Lustig finde ich den 1. Satz.
Wäre Apple auch nur hqlb so beliebt, wie der Apple-User uns weißmachen möchte, wären die Meldungen bezüglich Sicherheitslücke in xyz unser täglich Brot.
#3
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1782
Zitat p4n0;24945875
Ich finds toll wie sich solcher Probleme direkt angenommen wird.
Koennten sich andere Hersteller ne Scheibe von abschneiden :)


Solcher Probleme, die völlig unnötigerweise hausgemacht sind? Warum sind die denn von PBKDF2 auf nur eine Iteration SHA-2 runtergegangen? Scheint mir kein besonders cleverer Hersteller zu sein.
#4
Registriert seit: 30.04.2008
Civitas Tautensium, Agri Decumates
Oberbootsmann
Beiträge: 848
Zitat Don;24945021
Die Daten eines iPhone oder iPad sind aber nicht nur auf dem Gerät selbst in Gefahr, sondern auch die mittels iTunes erstellten Backups gehören geschützt. Apple lässt diese Backups daher mit einem Passwort versehen. Damit lassen sich auch sämtliche Passwörter und das neue Gerät übertragen.


Das ist der einzige Grund, wieso die Daten bei mir verschlüsselt sind.
Die Backups werden ausschließlich lokal gehalten und wenn jemand an die herankommt, ist er schon in meine Wohnung eingebrochen und hat die Verschlüsselung meines Macs geknackt oder das ganze Ding mitgehen lassen!
Da habe ich dann ganz andere Probleme als ein schwach verschlüsseltes iOS 10 Backup... :eek:
#5
Registriert seit: 27.12.2006
NRW
Oberbootsmann
Beiträge: 892
Gibt es tatsächlich noch user die ein lokales Backup machen? Mein letztes lokales Backup war irgendwann zu iPhone 4S Zeiten mit iOS5 oder so.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

FRITZ!OS 6.80 für die FRITZ!Box 7490 offiziell veröffentlicht (Update: nun...

Logo von IMAGES/STORIES/LOGOS-2013/AVM

Während das FRITZ!OS in der Version 6.80 schon seit einiger Zeit für die FRITZ!Box-Modelle 7580 und 7560 verfügbar ist, hat AVM nun auch für die FRITZ!Box 7490 den Startschuss freigegeben. Um vorneweg grobe Fehler zu vermeiden, wurden für die FRITZ!Box 7490 zuvor einige Beta-Versionen, so... [mehr]

Landesmedienanstalten nehmen Streamer wie PietSmiet ins Visier

Logo von IMAGES/STORIES/2017/MEDIENANSTALTEN

Deutschland gilt ohnehin nicht unbedingt als das Land, das technischen Innovationen besonders offen gegenübersteht. Das gilt insbesondere, wenn es um Inhalte im Internet geht. Während zum Beispiel Content-Ersteller in den Vereinigten Staaten dank der Fair-Use-Regelung deutlich mehr Möglichkeiten... [mehr]

Mozilla Firefox befindet sich auf direktem Weg in die Nische

Logo von IMAGES/STORIES/2017/MOZILLA_FIREFOX

Mozilla Firefox war eine ganze Zeit lang auf Erfolgskurs. Doch in den letzten Jahren ging es für den Browser immer weiter bergab: Die Marktanteile im Desktop-Bereich schwinden und auf Smartphones und Tablets ist zumindest unter Android aktuell zwar ein Wachstum zu verbuchen, im direkten... [mehr]

Vodafone kündigt GigaCube als Ersatz für Internetanschluss im Haus an

Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

Vodafone hat mit GigaCube eine Alternative zum herkömmlichen Internetanschluss im Haus vorgestellt. Vor allem der Einsatz in einer Zweitwohnung oder auch in einem Wochenendhaus nennt Vodafone als Einsatzgebiet. Mit GigaCube bietet der Netzbetreiber den Kunden die Möglichkeit, bis zu 50 GB... [mehr]

MagentaZuhause GIGA: Gigabit per Glasfaseranschluss von der Telekom

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM

Die immer wieder wegen des schleppenden Glasfaserausbaus in der Kritik stehende Deutsche Telekom hat auf der IFA einen neuen Tarif für ihre bestehenden Glasfaseranschlüsse angekündigt, der in Teilen auch endlich das Potenzial der Glasfasertechnik nutzen soll. Der neue Tarif namens... [mehr]

Deutsche Telekom erhöht maximale Geschwindigkeit auf 500 MBit/s

Logo von IMAGES/STORIES/2017/TELEKOM

Die Deutsche Telekom baut ihr Angebot „Zuhause Kabel“ aus und bietet ab sofort über Koaxialkabel deutlich höhere Übertragungsraten an. Dem Unternehmen zufolge sollen vor allem Mieter eine höhere Geschwindigkeit fordern und nennt damit den Grund für das Engagement. Während der Download mit... [mehr]