Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
Anzeige
 
 

iPhone: Apple will Passcode-Sicherheitslücke mit iOS 11 schließen

Hauke Gierow | Golem.de 22.08.2017 - 16:24|15
iPhone: Apple will Passcode-Sicherheitslücke mit iOS 11 schließen

Mit Hilfe eines Geräts soll es möglich sein, aktuelle iPhones ohne Wissen der Nutzer zu entsperren. Dazu wird eine Sicherheitslücke ausgenutzt, die nur wenige Nutzer betrifft. Apple will den Bug in iOS 11 schließen.

Apple will einen Bug beheben, der es in einigen Fällen ermöglicht, den Passcode eines iPhones durch massenhaftes Ausprobieren zu erraten. Ein Youtube-Nutzer mit dem Pseudonym EverythingApplePro hatte ein Video hochgeladen, in dem ein gesperrtes iPhone 7 durch das Ausprobieren verschiedener Passcodes entsperrt wird. Wer sein Gerät mit einem sechsstelligen Passcode abgesichert hat, ist nicht gefährdet. Betroffen sind iOS-Versionen von 10.0.0 bis 10.3.3 und die Betaversionen von iOS 11 mit Ausnahme von Beta 4.

Anzeige
Apple iPhone 7 Plus | (c) Areamobile
Apple iPhone 7 Plus

Der Angriff funktioniert grundsätzlich bei allen iPhone 7 und iPhone 7 Plus sowie bei einigen nicht näher spezifizierten iPhone 6 (Plus) und iPhone 6S (Plus). Angreifer müssen laut dem Video neben dem Gerät noch Software einsetzen, um den Recovery-Prozess des Betriebssystems ohne Eingabe eines Passcodes zu starten. Im Video wird gezeigt, wie der Brute-Force-Angriff durchgeführt wird, während die Geräte auf eine andere iOS-Version up- oder downgegradet werden. Dazu wird das iPhone mit dem etwa 500 US-Dollar teuren Gerät verbunden.

Schwachstelle im Upgrade-Prozess

Wird im Data-Recovery-Modus versucht, auf das Gerät zuzugreifen, zeigt das iPhone eine Eingabeaufforderung für den Passcode an; in diesem speziellen Fall greifen die üblichen Beschränkungen von Apple zur Eingabe verschiedener Codes nicht, es können also beliebig viele Versuche durchgeführt werden. Der Hack funktioniert realistisch nur mit einem vierstelligen Passcode, normalerweise fordert Apple von Nutzern einen wesentlich robusteren sechsstelligen Code an.

Nach Angaben von Apple funktioniert der Angriff nur, wenn Nutzer die PIN kurz zuvor selbst geändert haben. Die Zeitspanne für den Start eines erfolgreichen Angriffs ist damit sehr kurz und beträgt nur rund zehn Minuten. Ein Angreifer bräuchte zudem unbeschränkten, längerfristigen Zugriff auf das Gerät. Auch in günstigen Fällen kann der Angriff auf einen vierstelligen Passcode noch mehrere Tage dauern, bei einem sechsstelligen Passcode sogar mehrere Monate.

Apple hat Golem.de auf Anfrage bestätigt, dass ein Angriff mit den geschilderten Einschränkungen grundsätzlich möglich ist. In der finalen Version von iOS 11 soll der beschriebene Angriff nicht mehr funktionieren, auch in der aktuellen Betaversion 4 von iOS 11 wurde der Bug bereits behoben.

Mehr zum Thema: iPhone, Smartphones, Apple-Smartphones, Mobile Betriebssysteme, iOS 10

Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Lesen Sie alle 15 Kommentare in unser Community.
Kommentare
  1. 23.08.17 17:00 Fritz_The_Cat (Advanced Handy Master)

    Nö. Da muß man gar nichts kleinreden. Wozu es also versuchen?

  2. 23.08.17 15:33 nohtz (Professional Handy Master)

    " Ich habe einzig die Voraussetzungen zusammengefaßt, die - zeitgleich - notwendig sind, damit diese Lücke überhaupt ausgenutzt werden kann"
    ==>Spricht da etwa ein [...]-Fanboy, der versucht die Gefahren, welche für den Nutzer [...] ausgehen, kleinzureden?

  3. 23.08.17 15:06 Fritz_The_Cat (Advanced Handy Master)

    Hast Du nicht. Du hast nur gezeigt, daß Du meinen Beitrag #7 nicht verstanden hast.

  4. 23.08.17 15:01 IchBinNichtAreamobile.de (Advanced Handy Master)

    @FTC: Sorry, dass ich beim Selbstgespräch gestört habe.

  5. 23.08.17 14:11 Fritz_The_Cat (Advanced Handy Master)
    @ Ibnam:

    "Gegen wen argumentierst du da?"

    ==> Im Gegensatz zur gern gepflegten Praxis manch anderer hier argumentiere gegen niemanden persönlich. I
    ch habe einzig die Voraussetzungen zusammengefaßt, die - zeitgleich - notwendig sind, damit diese Lücke überhaupt ausgenutzt werden kann. … Aber das hatte ich ja auch genau so bereits in meinem Beitrag geschrieben.

  6. 23.08.17 13:59 Echse (Handy Master)

    Die Sicherheitslücke ist eher für gestohlene und insbesondere beschlagnahmte Geräte interessant.

    Auch da nicht. Wer hat schon, in den 10 Minuten bevor ihm das Handy geklaut wird, den Passcode geändert? ( der auch noch 4 Stellig sein muss)
    Genauso bei beschlagnahmten Geräten.

antworten
 
Mehr Informationen
Anzeige
Aktuelle Geräte im Test
Anzeige