Alle Storys
Folgen
Keine Story von Fraunhofer-Institut für Sichere Informationstechnologie SIT mehr verpassen.

Fraunhofer-Institut für Sichere Informationstechnologie SIT

iPhone weg? Passwörter weg!
iPhone-Schwachstelle zeigt, Verschlüsselung allein schützt nicht - Unternehmen müssen bei Geräteverlust schnell reagieren

Darmstadt (ots)

Wer sein iPhone verliert, dessen Passwörter sind nicht sicher. Das
ist das Ergebnis von Tests am Fraunhofer-Institut SIT in Darmstadt. 
Mitarbeitern des Instituts gelang es, die Geräteverschlüsselung des 
iPhone auszuhebeln und viele der auf dem Gerät gespeicherten 
Passwörter in sechs Minuten zu entschlüsseln. Wird das Gerät im 
Unternehmen eingesetzt, ist unter Umständen auch die Sicherheit des 
Firmennetzwerks bedroht. Die Schwachstelle im Sicherheitsdesign auf 
iPhone und iPad betrifft alle Geräte mit der neuesten Firmware. Eine 
schriftliche Dokumentation sowie ein Video zum Angriff sind im 
Internet unter http://www.presseportal.de/go2/Lost_iPhone erhältlich.
Nur Unternehmen, die auf solche Angriffe vorbereitet sind, können die
entsprechenden Risiken deutlich reduzieren.
Viele Menschen glauben, dass die Geräteverschlüsselung von 
Smartphones für ausreichende Sicherheit sorgt. "Selbst in den 
Sicherheitsabteilungen von Unternehmen sind wir immer wieder auf 
diese Einschätzung gestoßen", sagt Jens Heider, technischer Leiter im
Testlabor IT-Sicherheit am Fraunhofer SIT. "Unsere Demonstration 
beweist, dass dies ein Trugschluss ist. Selbst Geräte die mit hohen 
Sicherheitseinstellungen betrieben werden, ließen sich in kürzester 
Zeit knacken." Um an die Passwörter zu gelangen, die auf dem Gerät in
der Keychain gespeichert sind, mussten die Tester die eigentliche 
256-Bit-Verschlüsselung gar nicht brechen. Vielmehr machten sie sich 
eine Schwäche im Sicherheitsdesign zunutze: Das grundlegende 
Geheimnis, auf dem die Verschlüsselung der angegriffenen Passwörter 
bei iPhone und iPad basiert, wird im aktuellen Betriebssystem auf dem
Gerät gespeichert. Dadurch ist die Verschlüsselung unabhängig vom 
persönlichen Kennwort, das den Zugang zum Gerät eigentlich schützen 
soll.
Der Angriff ist bei jedem Gerät mit dem iOS-Betriebssystem 
möglich, unabhängig vom verwendeten Kennwort des Benutzers. Sobald 
ein Angreifer im Besitz eines iPhones oder iPads ist und die 
SIM-Karte des Geräts entfernt hat, kann er sowohl an 
E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge 
zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts 
lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen 
Webdiensten z.B. sozialen Netzwerken, muss der Angreifer einzig das 
Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime
Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es 
auch der Angreifer.
Unternehmen, die sich vor den Folgen solcher Angriffe schützen 
möchten, sollten ihre Mitarbeiter entsprechend sensibilisieren und 
entsprechende Notfall-Abläufe einführen. Wenn ein Mitarbeiter sein 
iPhone verliert, sollte nicht nur er alle seine Passwörter ändern, 
auch die Firma sollte die betreffenden Netzkennungen so schnell wie 
möglich erneuern. Jens Heider: "Hier zeigt sich, wie gut das 
Sicherheitskonzept auf die mobile Herausforderung eingestellt ist."

Pressekontakt:

Oliver Küch
Leiter PR
Fraunhofer SIT
oliver.kuech@sit.fraunhofer.de
06151-869-213

Weitere Storys: Fraunhofer-Institut für Sichere Informationstechnologie SIT
Weitere Storys: Fraunhofer-Institut für Sichere Informationstechnologie SIT
  • 12.01.2011 – 15:49

    Gute Karten / Experten-Workshop zu intelligenten Ausweisen

    Darmstadt (ots) - Im neuen Personalausweis oder in der mobilen Kommunikation, Chipsysteme übernehmen wichtige Funktionen in unserem Alltag. Über Sicherheit und Weiterentwicklung von SmartCards und der dazugehörigen Infrastrukturen diskutieren Experten am 2. und 3. Februar 2011 beim SmartCard-Workshop des Fraunhofer SIT in Darmstadt. Schwerpunktthemen in diesem Jahr sind die Sicherheit des neuen ...

  • 02.08.2010 – 14:52

    Update für das WWW - EU-Projekt SAIL arbeitet am Internet der Zukunft

    Darmstadt (ots) - Das Internet der Zukunft soll vielfältiger, schneller und sicherer werden. Um dieses Ziel zu erreichen, entwickeln Telekommunikationshersteller, -netzbetreiber sowie Forschungseinrichtungen im EU-Projekt SAIL (Scalable and Adaptive Internet Solution) gemeinsam neue Technologien und Lösungen für den Übergang zum Internet der Zukunft. 24 ...