iPhone 3GS: Verschlüsselt, aber leicht zu knacken
kg, den 24. Juli 2009Wie sicher ist die Verschlüsselung im iPhone 3GS wirklich? iPhone-Entwickler und Hacker Jonathan Zdziarski hat es ausprobiert: „Es ist so als ob man all seine geheimen Nachrichten direkt neben dem Dekoder ablegen würde.“
Laut Zdziarski ist das iPhone 3GS ungefähr so einfach zu knacken wie schon seine Vorgänger, die ohne jegliche Verschlüsselung ausgeliefert wurden. Um Zugriff auf die eigentlich geschützten Daten auf dem iPhone 3GS zu bekommen, um sensible Daten wie Kreditkarteninformationen auszulesen, bedarf es lediglich ein paar einfachen Softwaretricks, keinen Hacking-Kenntnissen.
Leicht zu knacken
In Tests dauerte es rund 2 Minuten, um aktuelle Daten zu extrahieren, für die kompletten Informationen muss man ca. 45 Minuten rechnen. An das Disk Image kommt man mit Tools wie redsn0w und purplera1n recht einfach, sind diese installiert kann man via SSH das Disk Image herunterziehen. Das Problem der iPhone-Verschlüsselung: Sobald man beginnt, Daten vom iPhone zu ziehen, entschlüsselt das iPhone diese selbsttätig.
Apple selbst bezeichnet das iPhone 3GS als besonders firmenfreundliches Smartphone, viele Firmen geben ihnen Recht: Rund 20% aller in den Fortune 100 verzeichneten Unternehmen haben 10000 und mehr iPhones im Einsatz, hinzu kommen zahlreiche weitere Firmen und Regierungsinstitutionen, sowie über 300 Bildungseinrichtungen. COO Tim Cook ließ während des Conference Calls noch verlauten, dass die Hardwareverschlüsselung und zusätzliche Sicherheitsoptionen das iPhone immer attraktiver machen, vor allem für Firmen und größere Organisationen.
Gefährlich wird es aber dann, wenn beispielsweise Kreditkarten-Buchungs-Apps installiert und dort auch sensible Daten hinterlegt sind. Lance Kidd, Vorstand der Informationsabteilung bei Halton Company, einem Zulieferer für Industriebedarf, sieht es derweil pragmatisch: Die vielen verfügbaren Apps sind das Risiko wert, ein iPhone zu benutzen. Zwar werden in der Firma die iPhones nicht für die sensiblen Kundendaten genutzt, dennoch ist man sich der generellen Gefahr bewusst.
Apell an App-Entwickler
Zdziarski sieht das ganze etwas anders und appelliert an die App-Entwickler, die Sicherheit innerhalb der Apps so hoch anzusetzen wie irgendwie möglich. „Wenn man sich auf Apples Sicherheitsmechanismen verlässt, dann wird auch die App unsicher.“ Auch die Fernlöschung mit MobileMe sei nicht hilfreich: Wer die SIM aus dem iPhone nimmt, kann die Fernlöschung unterbinden.
Vor allem im Profibereich heißt es: Nicht zu sehr den iPhone-eigenen Schutzmechanismen vertrauen. Zdziarski: „Wir müssen uns mit dem Konzept „Traue niemandem“ begnügen. Das heißt auch: „Traue Apple nicht“.