iPhone-Verschlüsselung geknackt

Der Sicherheitsexperte Bernd Marienfeldt hat eine Sicherheitslücke im iPhone 3GS entdeckt: Selbst wenn der Zugriff auf das Smartphone per PIN geschützt ist, gelangt man an alle auf dem iPhone abgelegten Daten. Der einfache Trick: Man muss das iPhone per USB-Kabel einfach nur an einen Rechner anschliessen, auf dem das kürzlich erschienene Ubuntu 10.04 läuft.

Der Security-Spezialist konnte die Lücke bei drei iPhone-Modellen feststellen, auf denen unterschiedliche iPhoneOS-Versionen laufen. Normalerweise sind alle auf dem iPhone abgelegten Daten per 256-Bit AES verschlüsselt. Wenn man das Gerät an einen Rechner anschliesst, erhält man nur Zugriff auf den nicht verschlüsselten Ordner «DCIM». Schliesst man beispielsweise unter Windows das per PIN gesicherte iPhone an, dann fordert iTunes den Anwender dazu auf, das Gerät durch Eingabe der PIN-Nummer freizugeben, ehe iTunes darauf zugreifen kann.

Eine Ausnahme macht nur das Betriebssystem Ubuntu 10.04 (Lucid Lynx): Hier werden alle Verzeichnisse angezeigt und man hat damit Zugriff auf beispielsweise alle auf dem iPhone abgelegten Fotos, Sprachnotizen, Podcasts und Musik-Dateien. Dabei wird nicht einmal protokolliert, dass ein unbefugter Zugriff auf die Daten stattgefunden hat.

«Wir haben schon gewusst, dass die iPhone-Verschlüsselung fehlerhaft in der Art und Weise ist, wie mit dem Verschlüsselungs-Schlüssel umgegangen wird. Die nun entdeckte Anfälligkeit zeigt, dass das Authentifizierungsmodell des Apple iPhone fehlerhaft ist», so die Entdecker der Lücke.

Apple wurde bereits über den Fund informiert und untersucht derzeit den Vorfall.