Inzwischen lässt sich der Vortrag von Apples Sicherheitschef Ivan Krstic, der auf der diesjährigen Konferenz Black Hat in Las Vegas gehalten wurde, in Gestalt der Präsentationsfolien einsehen.

Apple stellt die Kernel-Caches von iOS 10 nun im Rahmen einer Leistungsoptimierung unverschlüsselt bereit. Der Sicherheitschef des Konzerns betont, dass sich bei der Verschlüsselung von Nutzerdaten daraus keine Änderung ergebe.

Ein weiteres Thema der Präsentation ist ein in iOS 10 neuer "JIT-Hardening-Mechanismus". Er soll es Angreifern erschweren, Browser-Schwachstellen von Safari auszunutzen. Auch zur Secure Enclave von Apples A-Chipreihe, der eine sichere Umgebung für die "Handhabung kryptographischen Materials" bieten soll, nennt Krstic Details.

Die Präsentation widmet sich zudem ausführlich der Absicherung von Synchronisationsdiensten. Das Ziel dabei ist, die geheimen Daten des Nutzers wie etwa in der Passwortverwaltung iCloud-Schlüsselbund von starken kryptographischen Schlüsseln zu schützen. Selbst, wenn alle Geräte verloren gehen, sollen die Daten wiederhergestellt werden können.

Krstic bekräftigt, dass die Daten derart geschützt, sodass Apple nicht darauf zugreifen kann. Ein vom Nutzer vergebener "iCloud Security Code" komme dafür zum Einsatz, der dem Konzern nicht bekannt sei. Zudem sei das iCloud-Server-Backend nicht in einer privilegierten Position, um einen Brute-Force-Angriff durchzuführen.

Nur wenige Bereiche von iCloud sind derzeit auf diese Weise geschützt, da Appel in der Lage ist, auf iCloud-Backups zuzugreifen. Mitunter können die Daten eines Nutzers aufgrund richterlicher Anordnung an Strafverfolger ausgehändigt werden.

Am Ende des Vortrages stellte Krstic Apples Bug-Bounty-Programm vor, dass Sicherheitsforscher für das Melden von schweren Schwachstellen entlohnen soll.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE