Forum

iOS 4 Schlüsselbund geknackt!
August 06, 2010, 17:01:53
"... erstmals möglich wird, einem entwendeten iPhone auch den Inhalt des Schlüsselbundes zu entziehen":
http://www.fscklog.com/2010/08/bericht-fremdzugriff-auf-ios-4-schlüsselbund-durch-geänderte-backup-verschlüsselung-möglich.html

Florian

  • Verderbliche Ware!
Re:iOS 4 Schlüsselbund geknackt!
Antwort #1: August 06, 2010, 17:27:49
Puh. Typischer Fall von Verschlimmbesserung, scheint's.
Dann bin ich ja froh, dass ich iOS 4 bisher boykottiert habe. Wollte eigentlich diese Wochenende updaten, aber dann warte ich eben auf den Fix. Oder bis zur nächsten Lücke…
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:iOS 4 Schlüsselbund geknackt!
Antwort #2: Februar 10, 2011, 17:16:30
Es gibt einen weiteren Weg um an die meisten in iOS gespeicherten Kennwörter zu kommen. Positive Ausnahmen scheinen mobile Mail und Safari zu sein:
http://www.heise.de/security/meldung/iPhone-verloren-Passwoerter-weg-1186267.html


Wurde die ganz oben genannte Lücke eigentlich je gestopft? Für mich eine der gravierendsten.
« Letzte Änderung: Februar 10, 2011, 17:46:40 von radneuerfinder »

Florian

  • Verderbliche Ware!
Re:iOS 4 Schlüsselbund geknackt!
Antwort #3: Februar 11, 2011, 01:34:30
Es gibt einen weiteren Weg um an die meisten in iOS gespeicherten Kennwörter zu kommen. Positive Ausnahmen scheinen mobile Mail und Safari zu sein:
http://www.heise.de/security/meldung/iPhone-verloren-Passwoerter-weg-1186267.html

Krass. Wie ist das wohl mit 1PW? Müssten doch extra geschützt sein, oder?
Sollte das zutreffen, könnte man wenigstens zügig die Passwörter ändern für Mail, VPN, App-Dienste usw. ändern. Alle Web-Passwörter zu ändern ist ja kaum noch übersehbar, bei mir zumindest. 


Zitat
Wurde die ganz oben genannte Lücke eigentlich je gestopft? Für mich eine der gravierendsten.

Da das ja anscheinend als Feature gedacht ist, eher nicht.
Dieser Password-Cracker benutzt ja auch nur Brute-Force-Attacken. Also vernünftiges Passwort nutzen, so ist die Lücke nicht so schlimm.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:iOS 4 Schlüsselbund geknackt!
Antwort #4: Februar 11, 2011, 08:14:39
Es gibt einen weiteren Weg um an die meisten in iOS gespeicherten Kennwörter zu kommen.

Im Endeffekt lassen sich so alle Kennwörter abgreifen, die im Normalbetrieb ohne Eingabe eines Kennwortes benutzt werden können oder müssen. Sicher verschlüsseln ist dabei prinzipiell sowieso nur möglich, wenn man einen Passcode in seinem iPhone aktiviert, was standardmäßig aus ist. Ich kenne auch nur sehr wenige, die das aktiviert haben. Ich gehöre auch nicht dazu.
Aber selbst wenn man das aktiviert hat, muss das iPhone ja auch ohne Eingabe eines Passcodes an einige Kennwörter kommen können (z.B. die erwähnten WLAN-Schlüssel). Die lassen sich dann sowieso nicht richtig schützen, oder?

Wie ist das wohl mit 1PW? Müssten doch extra geschützt sein, oder?

Ja. 1Password legt die Daten nicht im Schlüsselbund ab, sondern verschlüsselt selber. Ohne das Kennwort einzugeben, kann man das nicht entschlüsseln.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re:iOS 4 Schlüsselbund geknackt!
Antwort #5: Februar 11, 2011, 12:45:00
Ich kenne auch nur sehr wenige, die das aktiviert haben. Ich gehöre auch nicht dazu.

Ich schon. Nervt kolossal!

Zitat
Aber selbst wenn man das aktiviert hat, muss das iPhone ja auch ohne Eingabe eines Passcodes an einige Kennwörter kommen können (z.B. die erwähnten WLAN-Schlüssel). Die lassen sich dann sowieso nicht richtig schützen, oder?

Wieso muss es aber eigentlich ans WLAN, wenn es versperrt ist? Das könnte man auch ändern. Sicher gibt es einige Gründe, aber dann sollte der User das selbst entscheiden können.

Ja. 1Password legt die Daten nicht im Schlüsselbund ab, sondern verschlüsselt selber. Ohne das Kennwort einzugeben, kann man das nicht entschlüsseln.

Danke für die Antwort, da bin ich beruhigt.
Das VPN-Passwort allerdings… das wird dann womöglich ein Wettlauf mit dem Dieb/Cracker.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:iOS 4 Schlüsselbund geknackt!
Antwort #6: Februar 11, 2011, 13:14:46
Also ich habe noch mal nachgelesen. Die oben angedeutete Sicherheitslücke ist keine. Man kommt nur an die Kennwörter in iOS, wenn das iPhone Backup mit Kennwort versehen wurde und dieses Kennwort einer brute force Attake nicht standhält. Also wie immer bei Kennwörtern.
http://www.elcomsoft.com/phone_password_recovery.html

Insofern trifft meine reißerische Überschrift höchstens auf die neuere Meldung zu. Sorry!
Re:iOS 4 Schlüsselbund geknackt!
Antwort #7: Februar 11, 2011, 13:26:49
Ich kenne auch nur sehr wenige, die das aktiviert haben. Ich gehöre auch nicht dazu.

Ich schon. Nervt kolossal!

Eben. Deshalb hat das wohl kaum einer an. Und bei Nicht-Smartphone-Geräten kenne ich das auch nicht, dass das jemand an hat.

Zitat
Wieso muss es aber eigentlich ans WLAN, wenn es versperrt ist? Das könnte man auch ändern. Sicher gibt es einige Gründe, aber dann sollte der User das selbst entscheiden können.

Ja, könnte man optional machen, wobei es dann wieder wie mit dem versperren enden würde. Es machen praktisch kaum welche. :)
Gesperrt heisst doch nur, dass das Gerät im normalen Standby ist und nicht nur mit einem Slide, sondern auch mit einem Code wieder "geöffnet" werden muss, oder?
Es sollte schon in diesem Zustand ins WLAN, sonst kann es ja nur über zu bezahlenden Mobilfunk Mails holen, Benachrichtigungen empfangen, eingehende Meldungen/Skype-Anrufe empfangen etc.
Dieser Standby ist doch quasi wie Bildschirmschoner. Schaltest Du Deinem Mac auch bei jedem kurzfristigen verlassen das WLAN ab?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re:iOS 4 Schlüsselbund geknackt!
Antwort #8: Februar 11, 2011, 13:27:42
Insofern trifft meine reißerische Überschrift höchstens auf die neuere Meldung zu. Sorry!

Ich glaube, die haben ihre Seite geändert. Denn ich bin ja damals auch dort gewesen und hatte es zunächst anders verstanden.
Ein gutes Passwort kann einer Brute-Force-Attacke standhalten. Allerdings sind die meisten Passwörter eben nicht gut, wie viele Studien belegen. Und ein Maximum an Versuchen pro Sekunde kann man ja in diesem Fall nicht implementieren.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.

Florian

  • Verderbliche Ware!
Re:iOS 4 Schlüsselbund geknackt!
Antwort #9: Februar 11, 2011, 13:33:38
Dieser Standby ist doch quasi wie Bildschirmschoner. Schaltest Du Deinem Mac auch bei jedem kurzfristigen verlassen das WLAN ab?

Ich habe es meistens gar nicht an. :)
Aber um es zu beantworten: Nein.
Aber ein Smartphone ist m.E. um eine Zehnerpotenz leichter zu verlieren, und auch zu stehlen. Da machen grundsätzlich mehr Sicherheitsvorkehrungen Sinn, nur ist es in der Regel andersherum: vier Zahlen statt Passcode wie am Rechner, Spyware en masse im Appstore, generell unbedarfter Umgang mit dem Gerät.
Was es wiederum für Diebe noch verlockender macht.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:iOS 4 Schlüsselbund geknackt!
Antwort #10: Februar 11, 2011, 13:47:30
Da machen grundsätzlich mehr Sicherheitsvorkehrungen Sinn...

Da hast Du vollkommen Recht und das wollte ich auch nicht in Abrede stellen. ich wollte nur sagen, dass es die meisten dann aus Bequemlichkeit doch nicht nutzen würden. Und wie geschrieben: Das WLAN muss auch im gesperrten Zustand laufen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

elafonisi

  • Verbergnix
Re:iOS 4 Schlüsselbund geknackt!
Antwort #11: Februar 11, 2011, 14:55:00
Ausgerechnet Google scheint sich der Passwortunsicherheit anzunehmen.
Re:iOS 4 Schlüsselbund geknackt!
Antwort #12: März 06, 2011, 20:33:51
… das wird dann womöglich ein Wettlauf mit dem Dieb/Cracker.

Ich nehme an hier ist die FernSperre und FernLöschung über https://me.com/find/de-de/ gemeint.

Hat man keine Code-Sperre gesetzt, so könnte die Zeit auf 4 Klicks des Diebs zusammenschnurren. Der könnte, sofern er sein Handwerk beherrscht, "iPhone suchen" ausschalten und damit alle Aktionen des Dienstes 'Mein iPhone suchen' aushebeln. Oder?

Florian

  • Verderbliche Ware!
Re:iOS 4 Schlüsselbund geknackt!
Antwort #13: März 07, 2011, 00:03:18
Letztendlich braucht er wohl (analysiert habe ich es nicht) nur den Flugmodus aktivieren, dann SIM raus, an den PC zum Backupen (Datenspionage) oder eben gleich Restore und am neuen iPhone erfreuen. Keine Code-Sperre ist so oder so eine schlechte Idee. Habe z.B. auch keine Lust, dass Kollegen mein privates iPhone durchforsten, um mal Eskalationsstufe Minimum zu erwähnen.

Man braucht sich freilich auch nicht vorgaukeln, dass eine komplizierte Passphrase absolute Sicherheit bietet. Otto Normalfinder aber wird wohl daran scheitern, die Daten auszuspähen. Gerade bei Firmendaten ist das halt so eine Sache: Gelegenheit macht Diebe. Sagen wir mal der an sich harmlose Finder erkennt sensible Daten… Zur Inspiration den Film „Burn after Reading“ anschauen. ;)

Aber mal ernsthaft: Natürlich muss Jeder selbst die Balance zwischen Sicherheit und Komfort finden. Sofern nicht (von Firma oder Dienst) vorgegeben. Ich persönlich gehe lieber einen Extraschritt.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.