iOS-11-Unlock 16.03.2018, 10:10 Uhr

US-Firma verkauft Box zum Knacken von iPhones

Die US-Firma Grayshift bietet eine Box zum Entsperren von aktuellen iPhones an. Dabei nutzt sie offenbar eine noch unbekannte Software-Schwachstelle. Einen ersten Abnehmer fand Grayshift bereits.
Einem US-Unternehmen ist es nach Erkenntnissen der IT-Sicherheitsfirma Malwarebytes gelungen, den Passwortschutz von Apples iPhone zu knacken. Zum Einsatz kommt dabei ein Gerät mit dem Namen GrayKey, das den Passcode der Geräte entschlüsseln kann, berichtete Malwarebytes am späten Donnerstag. Dies könne zwischen zwei Stunden und drei Tagen bei sechsstelligen Zahlenfolgen dauern. Malwarebytes geht davon aus, dass GrayKey eine von Apple noch nicht entdeckte Software-Schwachstelle nutzt und nicht mehr funktionieren würde, wenn der Konzern sie schliesslich stopft. So lief es vor einigen Jahren bereits bei einem anderen Gerät zum Knacken von iPhones, der IP-Box.
Wie «Motherboard» berichtet, schreckt das Kästchen vor aktueller Hard- und Software nicht zurück. So soll es auch möglich sein, Sperrcodes bei den neuen iPhones 8 und X zu entschlüsseln, die auf den Betriebssystemen iOS10 und 11 laufen.
So sieht die GrayKey-Box aus
Quelle: Malwarebytes
GrayKey wird von der 2016 gegründeten Firma Grayshift aus Atlanta produziert. Sie biete ihre Dienste nur Behörden an. Bisher wurde vor allem der Firma Cellebrite aus Israel die Fähigkeit zugeschrieben, den Passwortschutz von iPhones auszuhebeln. Auch in diesem Fall ist unklar, wie genau das funktioniert.
Während Cellebrite laut Medienberichten einen Preis von 5000 Dollar pro Gerät verlangt und man die iPhones der Firma zuschicken muss, gebe Grayshift die Technik direkt seinen Kunden in die Hand. Für 15'000 Dollar gebe es eine Version der GrayKey-Box, die lediglich mit Internet-Anbindung funktioniere und nur eine bestimmte Anzahl von Telefonen entsperren könne. Für 30'000 Dollar dagegen bekämen die Behörden ein GrayKey-Gerät ohne Einschränkungen, das auch keinen Internet-Zugang brauche.

Löschung bei falschem Code

Ermittlungsbehörden tun sich schwer damit, in Passcode-geschützte moderne Smartphones vorzustossen. Die Geräte sind so konzipiert, dass sie den Inhalt löschen, wenn zu oft der falsche Code eingegeben wird. Die US-Regierung wollte vor zwei Jahren Apple vor Gericht dazu zwingen, Software zum Entsperren des iPhones eines toten Attentäters zu schreiben. Der Konzern weigerte sich unter Hinweis darauf, dass dies am Ende weniger Sicherheit für alle bedeuten könne. Die US-Ermittler knackten das Telefon am Ende auch ohne Apple mit Hilfe eines externen Dienstleisters – dessen Name nicht bekannt wurde.
Thomas Reed, Director of Mac & Mobile bei Malwarebytes, warnte vor dem Risiko, das GrayKey in falsche Hände geraten und zum Beispiel von Kriminellen zum Entsperren gestohlener iPhones verwendet werden könne. Ausserdem sei unklar, ob die mit GrayKey geknackten iPhones danach wieder in den ursprünglichen Zustand zurückkehren könnten oder eine offene Schnittstelle zum Abschöpfen von Daten behielten.
Gemäss dem «Motherboard»-Bericht konnte Grayshift die Box in den USA bereits verkaufen. Dem Tech-Magazin wurde ein Bestellschein zugespielt, worauf ersichtlich gewesen sei, dass am 21. Februar eine Bestellung der Cybercrime-Abteilung der Indiana State Police einging. Diese bestellte die Online-Version der Box für insgesamt 15'000 Dollar – 500 Dollar kostete die Box selber, 14'500 Dollar berechnete der Anbieter für die Online-Jahreslizenz mit 300 Entsperrungen.



Das könnte Sie auch interessieren