Zwei Möglichkeiten stehen euch grundsätzlich zur Verfügung, um ein Backup eures iOS-Gerätes durchführen zu können. Zum einen könnt ihr das Backup in der iCloud speichern (Einstellungen -> iCloud -> Backup), dann wird regelmäßig ein Backup erstellt, wenn ihr euer Gerät mit dem Stromnetz verbindet und WiFi verfügbar ist. Alternativ könnt ihr das iOS-Gerät per Kabel mit eurem Mac oder PC verbinden und ein Backup am Computer ablegen. Diese Variante besitzt unter iOS 10 allerdings eine kleine Schwachstelle.
Update in Arbeit: Brute Force Attacken bei iOS 10 iTunes Backups leichter möglich
Wie die russischen Sicherheitsexperten von Elcomsoft berichten, benutzt Apple unter iOS 10 einen neuen Passwort-Überprüfungs-Mechanismus für iTunes Backups. Dies ermöglicht es, Passwörter leichter zu erraten. Es geht um die sogenannte Brute Force Attacke, bei der beliebige Passwörter ausprobiert werden, um das richtige Passwort zu erraten. Der „Bug“ ermöglicht es, dass Passwörter 2500x schneller erraten werden können.
Interessanterweise verzichtet Apple nur bei iOS 10 Geräten auf diese Sicherheitsstufe. Bei iOS 9 Backups kommt nach wie vor die alte Methode mit der weiteren Sicherheitsebene zum Einsatz. Unter iOS 9 ist es laut Elcomsoft möglich, 2.400 Passwörter pro Sekunde mittels Brute Force Attacke auszuprobieren (mit einem Intel i5). Nimmt man die GPU-Leistung hinzu, sind es 150.000 Passwörter pro Sekunde. Unter iOS 10 ist die Zahl mit 6 Millionen Passwort-Versuchen pro Sekunde entscheidend höher. Elcom geht davon aus, dass das Unternehmen eine Chance von 80 bis 90 Prozent besitzt, mit ihrem Tool, das richtige Passwort bei iOS 10 Backups zu erraten.
“We’re aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups,” a spokesperson said. “We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption.”
Nochmal zusammengefasst: Solltet ihr von eurem iOS 10 Gerät ein verschlüsseltes iTunes Backup am Computer anlegen, so ist es aktuell einfacher möglich, eine Brute Force Attacke zu fahren und das Passwort zu erraten. Dafür muss allerdings das Backup in fremde Hände geraten und entsprechend angegriffen werden. iCloud Backups sind nicht betroffen. Apple nimmt sich der Sache bereits an, arbeitet an einer Lösung und wird diese als Software-Update bereit stellen. Bis dahin empfiehlt Apple, dass Anwender ihren Mac oder PC mit einem starken Passwort versehen. Zudem besteht mit FileVault auf dem Mac eine Verschlüsselungsmethode bereit.
Warum diese Sicherheitsebene bei iOS 10 iTunes Backups derzeit nicht vorhanden ist, ist unbekannt. Grundsätzlich natürlich mehr als unglücklich, auf der anderen Seite allerdings auch kein Beinbruch, da viele Komponenten zusammenkommen müssen, um „gehackt“ zu werden. Apple arbeitet an einer Lösung und wird diese sicherlich zeitnah bereit stellen.
0 Kommentare