iOS 10: Brute-Force-Attacken sind beim iTunes Backup leichter möglich
Durch das Weglassen einiger Sicherheitsmechanismen hat Apple beim neuen iOS 10 die Sicherheit von iTunes Backups stark reduziert. Diese lassen sich, vorausgesetzt Angreifer gelangen in Besitz der Backups, durch Brute-Force-Attacken deutlich schneller knacken, wie ein russisches Unternehmen für Cybersicherheit herausgefunden hat.
Apples neues iOS 10 ist da und bringt eine große Zahl von Neuerungen mit sich. Eine "Neuerung" ist aber auch eine kleine Schwachstelle bezüglich der Cybersicherheit. Es geht hierbei um das iTunes Backup, welches eine Sicherung auf einem gekoppelten Mac oder PC erstellt, sodass iOS 10 dann mit allen Einstellungen bei Bedarf wiederhergestellt werden kann. Wie das auf Cybersicherheit spezialisierte Unternehmen Elcomsoft herausgefunden hat, ist das hinterlegte Backup anfällig für sogenannte Brute-Force-Attacken, berichtet Macrumors.
Brute Force steht für rohe Gewalt und meint in diesem Fall das simple Ausprobieren von Passwörtern, bis dann nach mehr oder weniger langer Zeit die richtige Kombination gefunden wird. So ist es bei früheren iOS-Versionen möglich, mit Hilfe eines speziellen Programms 2.400 Passwörter pro Sekunde auszuprobieren, wenn man nur einen nicht näher genannten Intel i5 Prozessor die Rechenarbeit übernehmen lässt. Spannt man noch eine leistungsfähige Grafikkarte ein, sind pro Sekunde 150.000 Passwörter möglich.
Bei iTunes Backups von iOS 10 läuft die Überprüfung der Passwörter jedoch anders ab, deutlich vereinfacht da einige Sicherheitsüberprüfungen nicht mehr durchgeführt werden. Das erlaubt eine 2.500 mal schnellere Passwortüberprüfung, sodass nur durch den Einsatz der CPU 6 Millionen Passwörter pro Sekunde ausprobiert werden können. Durch eine einen Kombination eines Wörterbuches und einer Datenbank der beliebtesten Passwörter lassen sich so 80% bis 90% der Backups in etwa zwei Tagen knacken, so Oleg Afonin von Elcomsoft. Gegenüber dem Wirtschaftsmagazin Forbes hat Apple die Sicherheitslücke zugegeben und eine Korrektur angekündigt.
Bisher keine Kommentare