Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iPhones knacken per Box – mit iOS 12 ist GrayKey wirkungslos geworden

Einige Monate lang war ein Traum für Ermittlungsbehörden wahr geworden, denn die bislang als fast unknackbare geltende iPhone-Festung ließ sich über spezielle Hardware einnehmen. Möglich machte dies eine kleine Box namens "GrayKey". Schloss man ein iPhone via Lightning an das Gerät an, so schleuste die Box einen Exploit ein, um anschließend alle möglichen Pin-Kombinationen durchprobieren zu können. Während iOS normalerweise bei falschen Pin-Eingaben eine Zeitstrafe vergibt, umging GrayKey diese Maßnahme.

Einen sechsstelligen Code zu knacken, dauerte damit im Durchschnitt 11 Stunden, im schlechtesten Fall 22 Stunden. Vierstellige Codes waren hingegen innerhalb weniger Minuten ausgehebelt. Mit iOS 11 konnte Apple die ausgenutzte Sicherheitslücke offensichtlich nicht schließen, wohl aber die Funktionsweise von GrayKey einschränken. Der Lightning-Anschluss deaktiviert sich nämlich nach gewisser Zeit – anschließend kann auch GrayKey nichts mehr ausrichten.


Mit iOS 12 ist die Entsperr-Party nun aber wohl endgültig vorbei. Wie der Sicherheitsspezialist ElcomSoft bestätigt, schob Apple dem verwendeten Angriffsszenario einen wirkungsvollen Riegel vor. Diesmal ist es aber nicht nur die empfindliche Einschränkung des Zeitfensters, sondern tiefgreifender. ElcomSoft gibt an, dass man die genaue Funktionsweise des neuen Schutzverfahrens bislang nicht nachvollziehen könne. Eventuell habe Apple den Kernel strikter abgeschottet – oder vielleicht auch die Überprüfung von Konfigurationszertifikaten umkonzipiert. Fakt sei jedoch: GrayKey funktioniert mit iOS 12 nicht mehr.


Im Sommer hatte sich der GrayKey-Hersteller Grayshift noch zuversichtlich gezeigt, dass iOS 12 kein Problem darstelle – die neuen Sicherheitsvorkehrungen lassen sich ebenfalls umgehen, so die Überzeugung. Zu viel Optimismus, wie sich nun herausstellte. Wie viele Behörden sich seit Frühjahr 2018 mit den GrayKey-Boxen eingedeckt haben, ist unbekannt – der Wert jener Investition ist nun aber jedenfalls in den Keller gerauscht. Fortan bedarf es wohl wieder Sicherheitsspezialisten, die Rechnungen in Millionenhöhe für das Eindringen in iOS-Systeme ausstellen.
Apple zieht iPadOS 18.0 für das iPad Pro M4 zurück
Apple zieht iPadOS 18.0 für das iPad Pro M4 zur...
M4 Max: Noch beeindruckendere Benchmark-Ergebnisse
M4 Max: Noch beeindruckendere Benchmark-Ergebni...
Weitere Neuerungen: iPhone 16 mit 8 GB RAM +++ iPhone 13 ist Geschichte +++ iOS 18.1 und macOS 15.1 Public Beta im Oktober
Weitere Neuerungen: iPhone 16 mit 8 GB RAM +++ ...
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde
iPhone 16: Welche Netzteile schnelles Laden versprechen
iPhone 16: Welche Netzteile schnelles Laden ver...
Ransomware eingefangen? Die meisten bezahlen ihre Erpresser
Ransomware eingefangen? Die meisten bezahlen ih...
Woche der Mac-Ankündigungen
Woche der Mac-Ankündigungen

Kommentare

FlyingSloth
FlyingSloth25.10.18 10:09
Wie stolz der Artikel doch klingt.
Fly it like you stole it...
-13
Eventus
Eventus25.10.18 10:13
Sind ja nur Steuergelder gewesen, die für den Kauf nutzloser Gerätschaften verschwendet wurden.
Live long and prosper! 🖖
+1
Mendel Kucharzeck
Mendel Kucharzeck25.10.18 10:14
FlyingSloth
Es ist doch auch tatsächlich eine große Leistung, ein solch komplexes Gerät wie ein iPhone so zu sichern, dass ein Zugriff auf das Gerät nicht möglich ist, selbst wenn man es in der Hand hat.
+11
OpDraht
OpDraht25.10.18 10:15
Trumps privates iPhone kann offenbar von internationalen Geheimdiensten leicht abgehört werden . Vielleicht erfährt man dabei ja live mehr als beim Knacken eines lokal vorhandenen Geräts.
+2
LoCal
LoCal25.10.18 10:17
OpDraht
Trumps privates iPhone kann offenbar von internationalen Geheimdiensten leicht abgehört werden.

Kann es?
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
-2
Deichkind25.10.18 10:20
Eventus
Sind ja nur Steuergelder gewesen, die für den Kauf nutzloser Gerätschaften verschwendet wurden.
Es gab sicherlich eine Geld-Zurück-Garantie
0
haschuk25.10.18 10:21
LoCal
OpDraht
Trumps privates iPhone kann offenbar von internationalen Geheimdiensten leicht abgehört werden.

Kann es?

Lt. diverser Medienberichte heute, ja. Und dem POTUS offenbar bekannt.
+1
Bigflitzer25.10.18 10:26
Seit wann ist Twitter überhaupt abhörsicher? Was anderes macht er damit bestimmt sowieso nicht.
+3
LoCal
LoCal25.10.18 10:26
haschuk
LoCal
OpDraht
Trumps privates iPhone kann offenbar von internationalen Geheimdiensten leicht abgehört werden.

Kann es?
Lt. diverser Medienberichte heute, ja. Und dem POTUS offenbar bekannt.

Hast du einen oder mehr Links dazu?
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
-2
sierkb25.10.18 10:36
LoCal
haschuk
LoCal
OpDraht
Trumps privates iPhone kann offenbar von internationalen Geheimdiensten leicht abgehört werden.

Kann es?
Lt. diverser Medienberichte heute, ja. Und dem POTUS offenbar bekannt.

Hast du einen oder mehr Links dazu?

Spiegel Online (25.10.2018): "New York Times"-Bericht: China und Russland hören offenbar Trumps private Telefonate ab
Wenn Donald Trump mit seinem Handy telefoniert, verfolgen russische und chinesische Spione laut einem Zeitungsbericht das Gespräch. Der Präsident soll bereits gewarnt worden sein - er ändert aber nichts.

The New York Times (24.10.2018): When Trump Phones Friends, the Chinese and the Russians Listen and Learn
+2
Konni25.10.18 10:43
Naja warum sollte er das ändern ?

Den Russen isses wahrscheinlich egal, ob sie sein Gesülze abhören, oder später bei Twitter lesen
+4
motiongroup25.10.18 10:45
Ein Problem das niemals zu meinem werden wird reisen in nogo Länder gibts nicht
wer nen roten Daumen über hat.. darüber plaudern ist nicht so euer Ding gell
+1
Bitsurfer25.10.18 10:57
sierkb
LoCal
haschuk
LoCal
OpDraht
Trumps privates iPhone kann offenbar von internationalen Geheimdiensten leicht abgehört werden.

Kann es?
Lt. diverser Medienberichte heute, ja. Und dem POTUS offenbar bekannt.

Hast du einen oder mehr Links dazu?

Spiegel Online (25.10.2018): "New York Times"-Bericht: China und Russland hören offenbar Trumps private Telefonate ab
Wenn Donald Trump mit seinem Handy telefoniert, verfolgen russische und chinesische Spione laut einem Zeitungsbericht das Gespräch. Der Präsident soll bereits gewarnt worden sein - er ändert aber nichts.

The New York Times (24.10.2018): When Trump Phones Friends, the Chinese and the Russians Listen and Learn
War das nicht ein grosses Wahlgeplänkel von Trump weil Hillary mit dem falschen Telefon telefonierte welches abgehört werden kann?

Aber das hat er wohl bereits vergessen.
+2
LoCal
LoCal25.10.18 11:11
Bitsurfer
War das nicht ein grosses Wahlgeplänkel von Trump weil Hillary mit dem falschen Telefon telefonierte welches abgehört werden kann?

Aber das hat er wohl bereits vergessen.

Nein … es ist im schlicht egal bzw. bei Ihm ist es ja was ganz anderes.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+4
LoCal
LoCal25.10.18 11:12
sierkb

Danke
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
Pixelmeister25.10.18 11:23
OpDraht
Trumps privates iPhone kann offenbar von internationalen Geheimdiensten leicht abgehört werden
Man sagt zwar immer, dass Telefone abgehört werden – aber fast immer wird die Verbindung dazwischen abgehört. Es ist für Regierungen viel leichter, sich in die (meist nicht verschlüsselte) Kommunikation einzuklinken, als die Geräte zu knacken.

Im NYTimes-Artikel steht:
"But the calls made from the phones are intercepted as they travel through the cell towers, cables and switches that make up national and international cellphone networks. Calls made from any cellphone — iPhone, Android, an old-school Samsung flip phone — are vulnerable.

Foreign governments are well aware of the risk, and so leaders like Mr. Xi and Mr. Putin avoid using cellphones when possible.

President Barack Obama was careful with cellphones, too. He used an iPhone in his second term, but it could not make calls and could receive email only from a special address that was given to a select group of staff members and intimates. It had no camera or microphone, and it could not be used to download apps at will. Texting was forbidden because there was no way to collect and store the messages, as required by the Presidential Records Act.

Mr. Trump has insisted on more capable devices. He did agree during the transition to give up his Android phone (the Google operating system is considered more vulnerable than Apple’s). "

Also kurz, Trumps iPhone ist wahrscheinlich sicher, zumindest sicherer als es ein Androide wäre (meinen zumindest Sicherheitsstellen der US-Regierung) – aber die Telefon-Verbindung ist es natürlich nicht. Es gibt abhörsichere Telefone (bzw. Verbindungen) – die sind aber unpraktisch (beide Gesprächspartner müssen sowas verwenden) und Twittern geht damit auch nicht.
+7
sierkb25.10.18 11:39
Pixelmeister
Im NYTimes-Artikel steht:
[…]
"But the calls made from the phones are intercepted as they travel through the cell towers, cables and switches that make up national and international cellphone networks. Calls made from any cellphone — iPhone, Android, an old-school Samsung flip phone — are vulnerable.
[…]

Und im Absatz davor, den Du gerne hättest mitzitieren dürfen, weil nicht unerheblich, steht Folgendes:
NYT
[…]
Officials said the president has two official iPhones that have been altered by the National Security Agency to limit their abilities — and vulnerabilities — and a third personal phone that is no different from hundreds of millions of iPhones in use around the world. Mr. Trump keeps the personal phone, White House officials said, because unlike his other two phones, he can store his contacts in it.

Apple declined to comment on the president’s iPhones. None of them are completely secure and are vulnerable to hackers who could remotely break into the phones themselves.
[…]
"But the calls made from the phones…
Pixelmeister
Also kurz, Trumps iPhone ist wahrscheinlich sicher

Genau das eben nicht.

Stattdessen ist ihm dringend anempfohlen, die gesicherten Festnetz-Verbindungen des Weißen Hauses zu benutzen:
But aides say the voluble president, who has been pressured into using his secure White House landline more often these days, has still refused to give up his iPhones.
(landline = Festnetz)

Also entweder abgesichertes Festnetz oder wenigstens ein speziell modifiziertes und abgesichertes bzw. gehärtetes iPhone, statt ein unmodifiziertes, ungehärtetes iPhone von der Stange, weil Letzteres eben unmodifiziert und ungehärtet nicht sicher ist.
+3
macparc
macparc25.10.18 11:43
+2
FlyingSloth
FlyingSloth25.10.18 11:50
Mendel Kucharzeck
FlyingSloth
Es ist doch auch tatsächlich eine große Leistung, ein solch komplexes Gerät wie ein iPhone so zu sichern, dass ein Zugriff auf das Gerät nicht möglich ist, selbst wenn man es in der Hand hat.
Da bin ich anderer Meinung. Ich denke in gewissen Fällen sollten Behörden mit richterlicher Anordnung Zugriff haben. Es gibt Situation wo es nötig ist.
Fly it like you stole it...
-9
camaso
camaso25.10.18 12:01
Der feine Grat zwischen "alle" und "in gewissen Fällen" ist der unüberwindbare Stolperstein.
+10
jlattke25.10.18 12:46
Ich finde es auch nicht okay, dass Polizei und Geheimdienste nicht auf Telefone Krimineller zugreifen können. Wir schaffen damit einen digitalen, rechtsfreien Raum. Ich finde das nicht tragbar (jetzt ist manchen hier Apple halt sympathisch weil es „gut“ ist; könnte ja auch ein anderes Unternehmen – hinter dem selbst schon ein „böser“ Psychopath steht – sein …). Wir dürfen Wohnungen und Büros durchsuchen – und alle erwarten das die Polizei aufklärt. Dann gebt denen auch die Möglichkeiten das zu tun!

Müssen korrupte Manager oder Terroristen künftig also einfach iPhones nutzen und sie sind sicher (Schöner Claim: „Apple: official Supplier of the evil“). Das ist doch daneben. Ebenso wie die Vorstellung „Apple schließt auf Anordnung ja auf“. Weshalb soll ein Privatunternehmen diese Macht erhalten?

Nicht falsch verstehen: ich finde es gut das es wahnsinnig schwer ist. Aber unmöglich? Das läuft m.E. in die falsche Richtung.
-7
PaulMuadDib25.10.18 12:51
FlyingSloth
Da bin ich anderer Meinung. Ich denke in gewissen Fällen sollten Behörden mit richterlicher Anordnung Zugriff haben. Es gibt Situation wo es nötig ist.
Niemals nicht, in keinem Fall. Ein Loch ist ein Loch und kann prinzipiell von jedem ausgenutzt werden. Absichtliche Löcher ist ein sehr hoher Preis für sehr wenige Resultate.
+13
PaulMuadDib25.10.18 12:53
jlattke
Müssen korrupte Manager oder Terroristen künftig also einfach iPhones nutzen und sie sind sicher (Schöner Claim: „Apple: official Supplier of the evil“).
Sollten iPhones in Zukunft staatliche Lücken enthalten, nimmt $Terrorist einfach was anderes. Der Rest ist gekniffen.
+3
LoCal
LoCal25.10.18 13:15
jlattke

Das Problem ist doch nicht das iPhone. Wer es will, wird immer (und wirklich immer!) einen Weg finden Daten so zu verschlüsseln bzw. zu verbergen, dass niemand an sie ran kommt oder auch die Informationen einfach nicht entdeckt (siehe Steganographie: ).

Und der Unterschied zwischen staatlicher Lücke und Hausdruchsuchung ist, dass man bei der Hausdurchsuchung (i.d.R.) anwesend ist bzw. diese mitbekommt … den Einbruch ins Smartphone bekommt man in der Regel nicht mit.
Und gerade was die digitale Überwachung angeht, wird hier in Dland schon sehr grosszügig agiert.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+4
jlattke25.10.18 13:45
@LoCal
Der Unterschied ist hierbei doch die Implementierung bzw der Aufwand. Und PaulMuadDibs Einwand ist ja auch nicht richtig: was soll man denn nehmen? Android?

Ich will damit sagen: es geht doch einfach darum wie groß der Aufwand ist, die Privatsphäre zu wahren … und ich muss Dir widersprechen was die Hausdurchsuchung angeht: wenn die Deinen Rechner und USB-Stick oder soetwas in der Art aus Deinem Haus mitnehmen bist Du raus … Du wirst nicht sehen auf was sie Zugriff haben oder auf was nicht. Und bei der hier angesprochenen Box haben Sie physischen Zugriff auf das Gerät benötigt. Ist also am Ende kein Unterschied. Ich finde es okay, dass man nicht einfach so auf die Geräte kommt. Aber einen komplett rechtsfreien Raum zu schaffen halte ich für daneben. Und schützt am Ende auch die falschen.

Klar kann auch ein halbwegs begabter alles verschlüsseln. Wenn das aber nicht einfach in seiner Kommunikationsbox per se und automatisiert geschieht, werden ihm dabei Fehler unterlaufen … immer. Die Frage wird dann sein ob sie gefunden werden. Die Chance darauf sollte aber doch bestehen.

Ich kann nicht ganz nachvollziehen, weshalb alle so erpicht darauf sind Kriminelle zu schützen … arbeitet die halbe Welt bei Mafia, Triaden, IS & Co.?

Nochmals: das alles sollte selbstverständlich mit einem gewissen Aufwand verbunden sein – und analog der Hausdurchsuchung nur auf richterlichen Beschluss durchzuführen sein. Aber es sollte m.E. zumindest MÖGLICH sein. (Und ich schreibe das als jemand der eine sehr differenzierte Position zu Regierungsorganisationen hat).
-5
haschuk25.10.18 14:00
Möglichkeit heißt Möglichkeiten zu schaffen, die nie nur ausschließlich von den „guten“ genutzt werden. Break by failure ist nicht auf das nur eine beschränkt.
+5
LoCal
LoCal25.10.18 14:08
@jlattke

Ich will natürlich keine Kriminellen schützen und ich bin der letzte, der nicht will, dass Straftaten aufgeklärt werden.
und ich muss Dir widersprechen was die Hausdurchsuchung angeht: wenn die Deinen Rechner und USB-Stick oder soetwas in der Art aus Deinem Haus mitnehmen bist Du raus

Mit dem feinen Unterschied, dass ich mir dann dessen bewusst bin, dass mein Rechner nun in fremden Händen ist. Bei einem Fernzugriff (und das wäre irgendwann die Forderung die kommen würde, wenn es jetzt schon per Box möglich wäre) merke ich nichts.

Warum ich dem ganzen so kritisch gegenüberstehe hat übrigens nicht damit zu tun, dass ich mich in irgendwelchen Graubereichen bewegen, das tue ich nämlich nicht.

Aber es gibt verschiedene Beispiele in denen der Datenreichtum der Ermittlungsbehörden zu falschen Ergebnissen führt.
Als Beispiel wäre da die Phantom-DNA , die bei verschiedenen Kapitalverbrechen "gefunden" wurde, zu nennen.

Und die Daten auf einem iPhone können z.B. dann in verschiedenster Weise genutzt werden. Und wer weiss, was für Schlüsse dann aus den Daten gezogen werden.

Und wer garantiert mir, dass bei einer Kontrolle am Flughafen nicht alle meine Daten gesichert werden.

Kurz nachdem das iPad rauskam, sind meine Frau und ich in den Urlaub geflogen und hatten unsere iPads dabei. Bei der Kontrolle wurde meiner Frau ohne jede Begründung das iPad abgenommen, dann verschwand einer der Beamten damit und kam ein paar Minuten später wieder.
Ich ging davon aus, dass die sich einfach das Ding mal live anschauen wollen, aber wir bekamen das iPad wortlos zurück.
Erst auf Nachfrage sagte man dann, dass man es auf Drogenspuren untersucht hätte. Nur warum macht man das nicht offen? Und warum das meiner Frau und nicht meines?

Und solange ich ein solches Misstrauen, das ja immer wieder gefördert wird, habe, möchte ich nicht, dass irgendwer Zugriff hat.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+2
jlattke25.10.18 14:39
@LoCal
Ich sprach ja auch von PHYSISCHEM Zugriff (und nur das kann die Box). Entsprechend weißt Du das auch … bei WhatsApp und Telefonaten hören die Geheimdienste mit – und Du bemerkst es nicht. Das finde ich bei Flächenbeobachtungen ekliger – weil ich ja nicht im Verdacht stehe. Das Gerät explizit zu untersuchen finde ich da harmloser.

Das mit dem iPad hatte ich auch. Etwa gleicher Zeitpunkt (direkt nach Markteinführung). Bei mir war es der Drogen- und Sprengstofftest … aber der andere Kollege hat es sich dann gleich zeigen lassen. Alllerdings war ich beim Test auch dabei … (Nebenraum).

Das iPad am Flughafen „mal eben“ öffnen ginge mit der Box ja auch nicht so ohne weiteres … dafür dauert das zu lange. Mir mein iPhone mal schnell vor das Gesicht zu halten oder den Finger mit etwas Nachdruck auf den Sensor ist übrigens auch eine Möglichkeit. Kam ja auch schon vor …

Ich persönlich stecke bei dem Thema in einer Zwickmühle. Allerdings möchte ich nicht in einem Land leben in dem man Täter nicht mehr überführen kann, da man an die digitalen Beweise nicht mehr rankommt … seine DNA hinterlässt man ja auch. Und mein Festnetz ist auch abhörbar … ohne das ich es merke. Ich habe das bisher gut überlebt. Würde mich im Zweifel aber dagegen verwahren.
-1
jlattke25.10.18 14:55
Im übrigen finde ich diese Diskussion so interessant wie wichtig. Und kann im Kern beide Seiten gut nachvollziehen. Für das echte Leben ist mir nur die eine Sichtweise näher. (Bestimmt auch nicht unerheblich beeinflusst durch Entwicklungen der letzten Jahre. Oder einfach durch die Tatsache das eben auch Kriminelle Technologien zu nutzen wissen. Ich glaube ein wichtiger Bestandteil meiner Einschätzung liegt darin begründet, dass Polizei und Geheimdienste in den letzten Dekaden immer auch über die entsprechenden Mittel verfügten … dieser Vorsprung schmilzt zunehmend.)
-2
blackboxberlin25.10.18 15:45
Puh, da bin ich ja froh, das der vorherige Präsident irgendein Telefon vom Praktikanten genommen hat - das ist viel sicherer und reduziert die monatlichen Telefonkosten

:
When Mr. Obama needed a cellphone, the officials said, he used one of those of his aides.
-2
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.