GrayKey: Box knackt sechsstelligen Code in 11 Stunden

[Jan Gruber]

GrayKey: Box knackt sechsstelligen Code theoretisch in 11 Stunden

In den letzten Wochen gab es Meldungen rund um neue Tools zur Umgehung der Passcode Sperre auf iOS Geräten. Neben der Methode von Cellebrite verstörten vor allem auch die Berichte über GrayKey. Die in den USA angesiedelte Firma vertreibt eine simple schwarze Box inklusive "praktischer" Volume Lizenzen für unbegrenzte Entsperrungen. Wie die Methode funktioniert, ist nicht bekannt. Es gibt jedoch neue Erkenntnisse darüber, wie lange das Entsperren dauert. Schnell wird klar, dass auch die sechsstelligen Codes kein ausreichender Schutz sind.

Seit einiger Zeit legt Apple den Nutzern virtuell die Daumenschrauben an. Bis dahin reichte es, einen vierstelligen Passcode zu vergeben, mittlerweile werden mindestens sechs Stellen vorausgesetzt. Mit der steigenden Anzahl der Stellen wächst auch die Sicherheit des Passworts erheblich, die Anzahl der Kombinationsmöglichkeiten nimmt exponentiell zu.

Matthew Green, ein Assistenz Professor am John Hopkins Information Institute, will jetzt Forschungen rund um die Dauer des Entsperrvorgangs aufgestellt haben. Dabei wird klar: Auch die sechsstelligen Codes schützen nicht ausreichend. Im Schnitt dauert die Entsperrung 11 Stunden. Trotz allem ist dies deutlich sicherer als ein vierstelliger Code - hier dauert es im Schnitt nur 6,5 Minuten.

Guide to iOS estimated passcode cracking times (assumes random decimal passcode + an exploit that breaks SEP throttling):

4 digits: ~13min worst (~6.5avg)
6 digits: ~22.2hrs worst (~11.1avg)
8 digits: ~92.5days worst (~46avg)
10 digits: ~9259days worst (~4629avg)

— Matthew Green (@matthew_d_green) 16. April 2018​

Wie GrayKey den sechsstelligen Code knackt


Nach wie vor ist nicht ganz klar, wie die neuen Lösungen die Passcodes umgehen, es zeichnet sich aber langsam ein Bild ab. Offenbar handelt es sich um simple Bruteforce Attacken (alle möglichen Codes ausprobieren). Apple hat hier eigentlich einen Schutz integriert, sodass der Code nur zehn Mal eingegeben werden kann - GrayKey und Co dürften aber genau diesen umgehen.

Via MacRumors

 

[Macbeatnik]

Und für einen 12 stelligen alphanumerischen Code braucht das Teil hochgerechnet ein paar Millionen Jahre.

 

[echo.park]

Interessant ist eigentlich nur, dass die es schaffen Code auf dem iPhone zur Ausführung zu bringen, der die Schutzmechanismen bei Brute-Force-Attacken aushebelt und Apple bisher keine Lösung parat hat.

 

[Macbeatnik]

Apples Schutz scheint allerdings recht passabel zu sein, das Ding braucht immerhin knapp 600Millionen mal länger für das entschlüsseln, als eine Brute Force Attacke ohne Apples Schutzmaßnahmen.
Und es ist eben recht leicht die Sicherheit zu erhöhen, selbst bei einem 6 stelligen alphanumerischen Code wurde diese Kiste im schlechtesten Fall für die Ermittler 141 Jahre brauchen.

 

[echo.park]

Laut dem Sicherheitsunternehmen Malwarebytes gelingt es GrayKey, Code auf das iOS-Gerät hochzuladen, der dann dafür sorgt, dass Apples Anti-Bruteforce-Maßnahmen ausgehebelt werden, die es sonst extrem schwer machen, den Sicherheitscode mit roher Gewalt zu knacken. Es ist daher denkbar, dass GrayKey zumindest teilweise ein Jailbreak gelingt, weil auf dem Gerät sogar Hinweise zum Bruteforce-Fortschritt angezeigt werden. Nach einem erfolgreichen Knacken können Behörden offenbar die meisten (oder gar alle) Daten des Geräts beziehen.

https://www.heise.de/mac-and-i/meld...-sechsstellige-PIN-in-11-Stunden-4025531.html

Edit:
Also was nun? Brute-Force-Schutz ausgehebelt, oder nicht?

 

[Macbeatnik]

Ja, haben sie ausgehebelt, allerdings sind sie schnarch lahm, ein normaler gebräuchlicher Rechner knackt einen 6 stelligen code( nur zahlen) in 0.00046 Sekunden, sie brauchen 22 Stunden. Es scheint also doch nicht so einfach die Schutzmechanismen zu umgehen bzw. Die verlangsamen es.

 

[Schupunkt]

Das blöde ist halt, diesen Code muss man sich merken und auch immer wieder mal eingeben, da hilft dann leider auch kein Passwortmanager. Deswegen nutze ich noch immer nen vierstelligen Code.

 

[staettler]

Du wirst ja noch einen sechsstelligen alphanumerischen Code merken können.

 

[maniag]

Ich weiß nicht ob es die gleiche Technik ist, aber eine theoretisch identische Box hat das Handy immer kurz nach der Passworteingabe Stromlos geschaltet. Dadurch wurde der Zähler nicht hochgesetzt.
Da die Zeit hier auch ziemlich lang ist könnte es ein ähnliches Vorgehen sein.
Neustart->Eingabe->Stromlos

 

[echo.park]

Ja, haben sie ausgehebelt

Es scheint also doch nicht so einfach die Schutzmechanismen zu umgehen bzw. Die verlangsamen es.

Ja, was denn nun? Du widersprichst dir ja selbst.

 

[paul.mbp]

Das blöde ist halt, diesen Code muss man sich merken und auch immer wieder mal eingeben, da hilft dann leider auch kein Passwortmanager. Deswegen nutze ich noch immer nen vierstelligen Code.

Nimm irgend einen Satz, aus diesem verwendest Du nur die Anfangsbuchstaben der Silben und garnierst das ganze noch mit nem Sonderzeichen davor und dahinter.

Aus: „Schupunkt vergisst sein Passwort niemals“ wird dann:

!SpvgsPwnm?

Nun musst Du Dir anstatt des kryptischen Passworts nur den Satz merken

 

[echo.park]

Und das Ganze dann bitte zwanzig mal für zwanzig Webseiten. Und dann noch für den Mac und das iPhone.

 

[Balkenende]

Ich freue mich schon auf die Behörden in Amerika, die sich die Dinger anschaffen.

Apple wird wie jedes andere Unternehmen irgendwann einen Weg finden, die Schwachstelle zu schließen. Und dann haben u.a. die Jungs vom FBI ein paar ganz praktische, sehr teure Briefbeschwerer rumstehen

 

[staettler]

Und das Ganze dann bitte zwanzig mal für zwanzig Webseiten. Und dann noch für den Mac und das iPhone.

Na für Webseiten nimmst einen Passwort Manager. Aber den einen Code für das iPhone kannst dir merken.

 

[access]

Spätestens jetzt wird es Zeit sich ein ordentliches Passwort zuzulegen. Das neue bayrische Sicherheitsgesetz erlaub es den Behörden die Daten auszulesen und zu MANIPULIEREN. Wenn man nichts zu verbergen hat werden einem halt Dinge untergeschoben.

 

[paul.mbp]

Und das Ganze dann bitte zwanzig mal für zwanzig Webseiten. Und dann noch für den Mac und das iPhone.

Dafür nutze ich 1Password als Passwortmanager.
Ohne dieses Tool wäre ich aufgeschmissen, denn immerhein verwaltet die App bei mir >130 Logins / Passwörter.

Es gibt nur 3 Sätze für Masterpasswörter die ich mir merken muss:
1. für den Mac
2. für iPad/iPhone
3. für 1Password

Alle anderen Passwörter kenne ich nicht mal ansatzweise, diese erstellt und verwaltet 1password für mich
Bei jeweils 20 Stellen mit 4 Ziffern und 4 Sonderzeichen hätte man auch kaum eine Chance sich das zu merken.

 

[_macminimal]

Dann ergänze ich mal meinen 8-stelligen Code um 2 weitere Stellen.

 

[echo.park]

Na für Webseiten nimmst einen Passwort Manager.

Dafür nutze ich 1Password als Passwortmanager.

Ja, das ist klar. Ich nutze den iCloud Schlüsselbund. Nachdem mit den neuen Updates sicher gestellt ist, dass Formulare nicht mehr automatisch ausgefüllt werden, ohne mein Zutun, genießt das Ding nun auch wieder mehr Vertrauen bei mir.

 

[Bob___]

Hier scheint kaum einer in einem großen deutschen Unternehmen zu arbeiten, wo eine Security Policy vorgegeben wird?! Dann würde sich kaum einer über ein komplexes Kennwort beschweren, weil das Standard ist. Aber Apple hat ja zum Glück Touch-ID / Face-ID erfunden, was das ganze wieder erträglich macht. Und alle 48 Stunden bzw. nach einem Neustart den komplexen Code von Hand einzugeben hat noch keinen umgebracht.

 

[echo.park]

Hier scheint kaum einer in einem großen deutschen Unternehmen zu arbeiten, wo eine Security Policy vorgegeben wird?! Dann würde sich kaum einer über ein komplexes Kennwort beschweren, weil das Standard ist.

Doch. Kennt man natürlich. Genauso wie die bekloppte und schon längst überholte Regelung regelmäßig das Passwort ändern zu müssen. Kontraproduktivität in Reinkultur.