Mit einem "kommenden Sicherheits-Update" will Apple ein "Problem bei der Verschlüsselungsstärke" von lokalen iTunes-Backups beseitigen. Dies stellte das Unternehmen gegenüber Forbes in Aussicht. Zuvor hatte eine Sicherheitsfirma bekanntgegeben, dass es deutlich leichter sei, durch eine Schwachstelle bei iTunes-Backups von iOS 10, Brute-Force-Angriffe auf das zur Verschlüsselung genutzte Passwort duchzuführen.

Bei iTunes-Backups von iOS 9 konnte man rund 2400 Passwörter pro Sekunde CPU-basiert mit einem Core-i5-Prozessor ausprobieren, so der Forensik-Tool-Hersteller Elcomsoft. Der in iOS 10 verwendete schwächere Verifizierungsmechanismus, erlaube nun das Testen von 6 Millionen Passwortkombinationen pro Sekunde.

Ein Sicherheitsanalyst merkt an, dass mit iOS 10 SHA256 mit nur einem einzelnen Durchgang anstatt der zuvor genutzten Hashfunktion PBKDF2 mit 10.000 Durchgängen verwendet wird.

Laut Apple ist dieses Problem ausschließlich ein Problem der lokal über iTunes auf macOS oder Windows angelegten Backups. Die iPhone- und iPad-Datensicherung über die iCloud seien nicht betroffen. Damit nur autorisierte Nutzer Zugriff haben, empfiehlt der iPhone-Hersteller den Nutzern, ihren Mac oder Windows-PC mit einem starken Passwort zu schützen. Die Festplattenverschlüsselung FileVault biete zusätzlichen Schutz, so Apple.

Einem Angreifer oder Strafverfolgungsbehörden räumt das Knacken der iTunes-Backup-Verschlüsselung einen erheblichen Vorteil ein. Dadurch ist nicht nur ein Zugriff auf sämtliche Daten des Backups möglich, sondern auch das Auslesen der Zugangsdaten von allen Accounts des Nutzers, die im Schlüsselbund gespeichert sind. Dass dabei Zugriff auf das lokale Backup oder das (entsperrte) iOS-Gerät besteht und das vom Nutzer in iTunes vergebene Passwort tatsächlich geknackt wird, ist dabei Voraussetzung.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE