Der Passcode, mit dem iPhones und iPads entsperrt werden, kann umgangen werden. Mit Hilfe einer recht einfachen Brute-Force-Attacke lassen sich offenbar selbst aktuelle iOS-Geräte entsperren. Laut dem Sicherheitsforscher Matthew Hickey vom Cybersecurity-Unternehmen Hacker House, benötigt man dazu lediglich ein eingeschaltetes iPhone und ein Lightning-Kabel samt Computer.
Passcode wird über Computer eingegeben
Um die Brute-Force-Attacke auszuführen, wird der Passcode nicht wie üblich über den Touchscreen des iOS-Gerätes, sondern über die Kabelverbindung am Computer eingegeben. Hickey will herausgefunden haben, dass das iPhone einen „interrupt request“ erzeugt, wenn ein Passcode über das Keyboard eingegeben wird. Dieser erhält Vorrang, sodass das iOS-Gerät zu beschäftigt ist, um die Daten auf dem iPhone zu löschen.
Unendliche viele Passcode-Möglichkeiten
Lässt ein Angreifer also zahlreiche Passcode-Anfragen automatisiert ausführen, können unendlich viele Passcodes ausprobiert werden. Theoretisch können auf diese Weise so lange unterschiedliche Passcode-Möglichkeiten eingegeben werden, bis der richtige PIN gefunden ist. Es wird vermutet, dass eine ähnliche Vorgangsweise angewandt wird, wenn Unternehmen wie Cellebrite oder GrayKey von Behörden angeheuert werden, um iOS-Geräte zu entsperren. Für gewöhnlich lassen sich maximal zehn Passcode-Anfragen ausprobieren, bis die Daten auf dem iPhone oder iPad gelöscht werden.
Apple weist Vorwürfe zurück
Apple behauptet in einer ersten Stellungnahme, Hickeys Methode funktioniere nicht und er habe bei dem Hack Fehler gemacht. In der Tat hat Hickey im Nachhinein herausgefunden, dass einige Passcode-Anfragen nicht gezählt wurden. Dennoch wäre es theoretisch möglich, iPhones und iPads auf diese Weise zu entsperren – vorausgesetzt, Zeit spielt eine untergeordnete Rolle.
———-
Das könnte auch interessant sein:
- Das Xiaomi Mi Mix 2 im Test: „Rahmenlos“ ohne Notch
- Einbrecher berauben Apple wie in „Mission Impossible“
- Der Apple-Killer: Das Huawei MateBook X Pro im Test
———-
Neue Features in iOS 12
Obwohl Apple die Sicherheitslücke herunterspielt, dürfte sie dem Unternehmen schon länger ein Dorn im Auge sein. Denn im kommenden iOS 12 wird der Zugriff per Kabel auf iOS-Geräte eingeschränkt. Das neue Feature mit dem Namen „USB Restricted Mode“ verweigert dann den kabelgebundenen Zugriff, wenn das iPhone länger als eine Stunde nicht wie gewöhnlich per Passcode entsperrt wurde. Da eine derartige Brute-Force-Attacke weit länger als eine Stunde dauert, könnte ein iOS-Gerät nicht mehr auf diese Weise entsperrt werden.