Code-Sperre
So sichern Sie Ihre Daten auf dem iPhone
Angriff auf die Keychain
Der nächste Schritt wurde bereits in der Vergangenheit von Mitgliedern des iPhone Dev Teams dokumentiert - allerdings nicht zum Datenklau.
Apple nutzt nicht das vom Benutzer vergebene Passwort der Code-Sperre, um die Daten am iPhone zu verschlüsseln, sondern die im iPhone verankerte eindeutige Geräte-ID. Genau hier liegt das Problem. Wie schon von Mitgliedern des iPhone Dev Teams gezeigt, aber nicht groß öffentlich gemacht, lässt sich eine ausführbare Krypto-Datei erstellen, die die Geräte-ID nutzt und dann einige der Passwörter aus der Keychain im Klartext anzeigt.
Der Sicherheitsexperte Jonathan Zdziarski, der Hackerszene unter seinem Pseudonym Nervegas bekannt, weist seit zwei Jahren auf den Missstand hin, neben anderen Fachleuten.
Hätten die Mitarbeiter des Fraunhofer SIT statt eines Jailbreaks am iPhone einen moderneren Hack mit Custom RAM-Disk eingesetzt, wäre der Eingriff vom Besitzer des iPhone nicht einmal bemerkt worden. Man hätte ihm das Gerät mit intakter Code-Sperre nach dem Datenklau zurückgeben können, ohne dass Veränderungen feststellbar wären.
Apple muss nachbessern
Apple muss hier aktiv werden und den Missstand beseitigen. Am einfachsten wäre es, die Code-Sperre vorzuschreiben und das gewählte Passwort des Benutzers bei der Erzeugung des Schlüssels für die Datenverschlüsselung einzubeziehen. In diesem Fall wäre ein Angriff wie beschrieben nicht möglich.
Pflichten des Benutzers
Neben Apple steht aber auch der Benutzer in der Pflicht. Wer sein iPhone ohne Code-Sperre betreibt, öffnet dem Datenklau Tür und Tor. Hier sollte es auch die komplexe Variante des Passworts sein und nicht die vierstellige Zahl.
Darüber hinaus gehören sensible Daten wie etwa die PIN der EC-Karte auf dem iPhone in spezielle Apps, die die Daten sicher verschlüsseln. Hier hätte auch der beschriebene Angriff nicht gefruchtet.
Maßnahmen im Schadensfall
In den meisten Fällen wird ein Dieb einfach eine Wiederherstellung durchführen und das iPhone dann verkaufen. Dennoch sollte man sofort handeln, wenn ein Diebstahl bemerkt wird.
Wer über einen Mobile-Me-Account verfügt und die Option "Mein iPhone suchen" eingeschaltet hat, kann versuchen, es aus der Ferne komplett zu löschen. Das klappt allerdings nur so lange, wie der Dieb die SIM-Karte nicht entfernt hat.
Ansonsten raten wir dazu, sofort sämtliche Passwörter zu ändern, die auch auf dem iPhone zum Einsatz kommen. Damit verhindert man, dass der Dieb in die Lage versetzt wird, per Mail neue Zugangspasswörter aus Foren des Benutzers anzufordern.