Wenn ein Mitarbeiter oder gar der Chef persönlich sein iPhone vermisst, ist mindestens Alarmstufe Gelb im Unternehmen angesagt. Denn die meisten Menschen speichern auf diesen Geräten Passwörter – oft auch solche aus dem betrieblichen Bereich. Diese aber lassen sich erstaunlich leicht und schnell auch aus gut gesicherten Geräten auslesen. Das bewiesen jetzt Wissenschaftler des Testlabors IT-Sicherheit am Fraunhofer Institut für Sichere Informationstechnologie (SIT).
Mitarbeitern des Instituts gelang es in nur sechs Minuten, die Geräteverschlüsselung des iPhone auszuhebeln und viele der auf dem Gerät gespeicherten Passwörter zu entschlüsseln. Wird so ein Gerät im Unternehmen eingesetzt, ist unter Umständen auch die Sicherheit des Firmennetzwerks bedroht.
Viele Menschen glauben, dass die Geräteverschlüsselung von Smartphones für ausreichende Sicherheit sorgt. „Selbst in den Sicherheitsabteilungen von Unternehmen sind wir immer wieder auf diese Einschätzung gestoßen“, kritisiert Jens Heider, technischer Leiter im Testlabor IT-Sicherheit am Fraunhofer SIT. „Unsere Demonstration beweist, dass dies ein Trugschluss ist. Selbst Geräte die mit hohen Sicherheitseinstellungen betrieben werden, ließen sich in kürzester Zeit knacken.“
So wurde es gemacht
Um an die Passwörter zu gelangen, mussten die Tester die eigentliche 256-Bit-Verschlüsselung gar nicht brechen. Vielmehr machten sie sich eine Schwäche im Sicherheitsdesign zunutze: Das grundlegende Geheimnis, auf dem die Verschlüsselung der angegriffenen Passwörter bei iPhone und iPad basiert, wird im aktuellen Betriebssystem auf dem Gerät gespeichert. Dadurch ist die Verschlüsselung unabhängig vom persönlichen Kennwort, das den Zugang zum Gerät eigentlich schützen soll.
Die Schwachstelle im Sicherheitsdesign auf iPhone und iPad betrifft alle Geräte mit der neuesten Firmware. Nur Unternehmen, die auf solche Angriffe vorbereitet sind, können die entsprechenden Risiken deutlich reduzieren.
Eine schriftliche Dokumentation sowie ein Video zum Angriff stehen im Internet bereit.
Der Angriff ist bei jedem Gerät mit dem iOS-Betriebssystem möglich, unabhängig vom verwendeten Kennwort des Benutzers. Sobald ein Angreifer im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN– und WLAN-Zugänge zum Firmennetzwerk gelangen.
Durch die Kontrolle des E-Mail-Accounts lassen sich dann zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten z.B. sozialen Netzwerken muss der Angreifer einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer.
Unternehmen, die sich vor den Folgen solcher Angriffe schützen möchten, sollten ihre Mitarbeiter entsprechend sensibilisieren und entsprechende Notfallabläufe einführen. Wenn ein Mitarbeiter sein iPhone verliert, sollte nicht nur er alle seine Passwörter ändern, auch die Firma sollte die betreffenden Netzkennungen so schnell wie möglich erneuern. Jens Heider: „Hier zeigt sich, wie gut das Sicherheitskonzept auf die mobile Herausforderung eingestellt ist.“
(Fraunhofer SIT / ml)
Kommentar
Der Fairness halber weisen wir darauf hin, dass natürlich nicht nur iPhones zum Geheimnisverräter werden können, wenn sie kriminellen Attacken ausgesetzt sind, sondern auch andere Smartphones mit anderen Betriebssystemen. Bisher galten allerdings iPhones vielen Nutzern als besonders sicher. Der erfolgreiche Angriff der Fraunhofer-Wissenschaftler sollte deshalb für die Apple-Ingenieure Anlass sein, über bessere Verschlüsselungskonzepte nachzudenken. (ml)
