- Registriert
- 06.04.08
- Beiträge
- 45.127
Forscher der Sicherheitsfirma MDSec sind auf eine neue Möglichkeit gestoßen, mit der sich ein per Passcode gesperrtes iPhone über eine Brute-Force-Attacke knacken lässt. Bei einer Brute-Force-Attacke wird durch simples Ausprobieren aller möglichen Kombinationen ein Passwort erraten – bei einem vierstelligen Zahlencode gäbe es also 10.000 mögliche Kombinationen. Die nun aufgetauchte Möglichkeit funktioniere selbst dann, wenn auf dem iPhone die Einstellung vorgenommen wurde, dass nach zehn fehlerhaften Code-Eingaben das Gerät zurückgesetzt und alle Daten gelöscht werden, schreibt MDSec im Unternehmensblog. Notwendig dafür ist ein Gerät, das für weniger als 300 Euro erhältlich ist.[prbreak][/prbreak]
Die Funktionsweise des Hacks wird so beschrieben: Über eine USB-Verbindung mit dem iPhone werden alle möglichen Passcode-Kombinationen durchprobiert. Normalerweise wäre hier nach einigen Fehlversuchen Schluss. Denn mit jeder falschen Kombination muss man immer länger warten, bis eine erneute Codeeingabe möglich ist. Zusätzlich haben einige Nutzer die Funktion aktiviert, um nach zehn fehlerhaften Codeeingaben das Gerät zurückzusetzen. Das Gerät kann dies offenbar jedoch umgehen und ist dazu mit der Stromversorgung des iPhones verbunden. Sobald eine falsche Codeeingabe erfolgt, wird die Stromversorgung unterbrochen – noch bevor der fehlerhafte Versuch im Flash-Speicher des iPhones gespeichert werden konnte.
Einem Hacker wäre es so möglich, unendlich viele Zahlenkombinationen auszuprobieren, um das iPhone zu knacken. Durch den Neustart des Gerätes benötigt jede Codeeingabe ungefähr 40 Sekunden, nach spätestens rund 111 Stunden hätte man alle möglichen Zahlenkombinationen einer 4-stelligen Passcode-Sperre durchprobiert – das Gerät wäre offen. Der Test wurde von MDSec auf einem iPhone 5s mit iOS 8.1 durchgeführt. Die Experten führen an, dass Apple das Sicherheitsproblem jedoch bereits mit einem iOS-Update geschlossen haben könnte. Ein entsprechender Eintrag (CVE-2014-4451) deutet darauf hin. MDSec möchte nun testen, ob iOS 8.2 tatsächlich bereits gegen diese Brute-Force-Methode gerüstet ist.
Via The Verge
Die Funktionsweise des Hacks wird so beschrieben: Über eine USB-Verbindung mit dem iPhone werden alle möglichen Passcode-Kombinationen durchprobiert. Normalerweise wäre hier nach einigen Fehlversuchen Schluss. Denn mit jeder falschen Kombination muss man immer länger warten, bis eine erneute Codeeingabe möglich ist. Zusätzlich haben einige Nutzer die Funktion aktiviert, um nach zehn fehlerhaften Codeeingaben das Gerät zurückzusetzen. Das Gerät kann dies offenbar jedoch umgehen und ist dazu mit der Stromversorgung des iPhones verbunden. Sobald eine falsche Codeeingabe erfolgt, wird die Stromversorgung unterbrochen – noch bevor der fehlerhafte Versuch im Flash-Speicher des iPhones gespeichert werden konnte.
Einem Hacker wäre es so möglich, unendlich viele Zahlenkombinationen auszuprobieren, um das iPhone zu knacken. Durch den Neustart des Gerätes benötigt jede Codeeingabe ungefähr 40 Sekunden, nach spätestens rund 111 Stunden hätte man alle möglichen Zahlenkombinationen einer 4-stelligen Passcode-Sperre durchprobiert – das Gerät wäre offen. Der Test wurde von MDSec auf einem iPhone 5s mit iOS 8.1 durchgeführt. Die Experten führen an, dass Apple das Sicherheitsproblem jedoch bereits mit einem iOS-Update geschlossen haben könnte. Ein entsprechender Eintrag (CVE-2014-4451) deutet darauf hin. MDSec möchte nun testen, ob iOS 8.2 tatsächlich bereits gegen diese Brute-Force-Methode gerüstet ist.
Via The Verge
Zuletzt bearbeitet: