- Registriert
- 26.09.13
- Beiträge
- 85
Hallo zusammen,
da ich den iCloud-Schlüsselbund gerne nutzen wollte habe ich mich mit der Sicherheit dieser Funktion befasst.
Oberstest Kriterium:
Niemand (auch nicht Apple) darf die Möglichkeit besitzen den iCloud-Schlüselbund zu entschlüsseln ohne ein Passwort das nur ich kenne (von AES Schwachstellen mal abgesehen).
Fazit:
iCloud ist kläglich durchgefallen!! Warum? Naja nach hin und herüberlegungen bin ich zu dem Fazit gekommen, dass Apple die im iCloud-Schlüsselbund gespeicherten Daten eben doch lesen kann!!!! Mein Rat ist also fingerweg vom iCloud-Schlüsselbund.
Wie komme ich zu diesem Fazit?
Ganz einfach. Jeder kann es ganz leicht nachvollziehen.
Wir haben folgendes Szenario: Mac1 und Mac2 wollen über den iCloud-Schlüsselbund synchron bleiben.
Mac1 aktiviert also den iCloud-Schlüsselbund und muss dabei zuerst die AppleID-Authetifizierung/Passwort eingeben und danach einen Sicherheitscode für den iCloud-Schlüsselbund. Jeder würde nun denken, dass der Sicherheitscode nun das Masterpasswort für den iCloud-Schlüsselbund ist. Aber wie wir nun sehen werden ist dem nicht so!
Mac2 will nun auch den eben erstellten iCloud-Schlüsselbund nutzen.
Dazu aktiviert er die Funktion und muss die AppleID-Authetifizierung eingeben.
Nun hat man zwei Optionen.
1. Man gibt den Sciherheitscode ein und wartet auf eine SMS von Apple mit einem weigern Sicherheitscode.
2. Man lässt Mac2 mit Hilfe von Mac1 bestätigen.
Wir wählen Option 2 aus und lassen Mac2 mit Mac1 bestätigen.
Nun kann man bei Mac1 die Anforderung des iCloud-Schlüsselbund von Mac2 bestätigen. Dazu muss man NUR das Apple-ID-Passwort eingeben. Fertig!
Von nun an kann Mac2 den iCloud-Schlüsselbund auch lesen und bearbeiten OHNE das wir den Sicherheitscode (von dem wir glaubten das er das Masterpasswort sei) eingeben mussten. Das einzige Passwort das man eingeben musste um den iCloud-Schlüsselbund zu entschlüsseln war das AppleID-Passwort! -----> D.h. der iCloud-Schlüsselbund ist mit dem AppleID-Passwort verschlüsselt. ABER Apple kennt dieses Passwort ja schon längst! D.h. Apple kann unsere Passwörter einfach mitlesen.
da ich den iCloud-Schlüsselbund gerne nutzen wollte habe ich mich mit der Sicherheit dieser Funktion befasst.
Oberstest Kriterium:
Niemand (auch nicht Apple) darf die Möglichkeit besitzen den iCloud-Schlüselbund zu entschlüsseln ohne ein Passwort das nur ich kenne (von AES Schwachstellen mal abgesehen).
Fazit:
iCloud ist kläglich durchgefallen!! Warum? Naja nach hin und herüberlegungen bin ich zu dem Fazit gekommen, dass Apple die im iCloud-Schlüsselbund gespeicherten Daten eben doch lesen kann!!!! Mein Rat ist also fingerweg vom iCloud-Schlüsselbund.
Wie komme ich zu diesem Fazit?
Ganz einfach. Jeder kann es ganz leicht nachvollziehen.
Wir haben folgendes Szenario: Mac1 und Mac2 wollen über den iCloud-Schlüsselbund synchron bleiben.
Mac1 aktiviert also den iCloud-Schlüsselbund und muss dabei zuerst die AppleID-Authetifizierung/Passwort eingeben und danach einen Sicherheitscode für den iCloud-Schlüsselbund. Jeder würde nun denken, dass der Sicherheitscode nun das Masterpasswort für den iCloud-Schlüsselbund ist. Aber wie wir nun sehen werden ist dem nicht so!
Mac2 will nun auch den eben erstellten iCloud-Schlüsselbund nutzen.
Dazu aktiviert er die Funktion und muss die AppleID-Authetifizierung eingeben.
Nun hat man zwei Optionen.
1. Man gibt den Sciherheitscode ein und wartet auf eine SMS von Apple mit einem weigern Sicherheitscode.
2. Man lässt Mac2 mit Hilfe von Mac1 bestätigen.
Wir wählen Option 2 aus und lassen Mac2 mit Mac1 bestätigen.
Nun kann man bei Mac1 die Anforderung des iCloud-Schlüsselbund von Mac2 bestätigen. Dazu muss man NUR das Apple-ID-Passwort eingeben. Fertig!
Von nun an kann Mac2 den iCloud-Schlüsselbund auch lesen und bearbeiten OHNE das wir den Sicherheitscode (von dem wir glaubten das er das Masterpasswort sei) eingeben mussten. Das einzige Passwort das man eingeben musste um den iCloud-Schlüsselbund zu entschlüsseln war das AppleID-Passwort! -----> D.h. der iCloud-Schlüsselbund ist mit dem AppleID-Passwort verschlüsselt. ABER Apple kennt dieses Passwort ja schon längst! D.h. Apple kann unsere Passwörter einfach mitlesen.