• IT-Karriere:
  • Services:

Apple: Aufregung um iPhone-Passcode-Entsperrbox

Mit Hilfe eines Geräts soll es möglich sein, aktuelle iPhones ohne Wissen der Nutzer zu entsperren. Dazu wird eine Sicherheitslücke ausgenutzt, die nur wenige Nutzer betrifft. Apple will den Bug in iOS 11 schließen.

Artikel veröffentlicht am ,
Ein Tool soll beim Entsperren von iPhones helfen.
Ein Tool soll beim Entsperren von iPhones helfen. (Bild: Apple)

Apple will einen Bug beheben, der es in einigen Fällen ermöglicht, den Passcode eines iPhones durch massenhaftes Ausprobieren zu erraten. Ein Youtube-Nutzer mit dem Pseudonym EverythingApplePro hatte ein Video hochgeladen, in dem ein gesperrtes iPhone 7 durch das Ausprobieren verschiedener Passcodes entsperrt wird. Wer sein Gerät mit einem sechsstelligen Passcode abgesichert hat, ist nicht gefährdet. Betroffen sind iOS-Versionen von 10.0.0 bis 10.3.3 und die Betaversionen von iOS 11 mit Ausnahme von Beta 4.

Stellenmarkt
  1. SAP, Hallbergmoos bei München
  2. AVL List GmbH, Graz (Österreich)

Der Angriff funktioniert grundsätzlich bei allen iPhone 7 und 7 Plus sowie bei einigen nicht näher spezifizierten iPhone 6 und 6S. Angreifer müssen laut dem Video neben dem Gerät noch Software einsetzen, um den Recovery-Prozess des Betriebssystems ohne Eingabe eines Passcodes zu starten. Im Video wird gezeigt, wie der Brute-Force-Angriff durchgeführt wird, während die Geräte auf eine andere iOS-Version up- oder downgegradet werden. Dazu wird das iPhone mit dem etwa 500 US-Dollar teuren Gerät verbunden.

Schwachstelle im Upgrade-Prozess

Wird im Data-Recovery-Modus versucht, auf das Gerät zuzugreifen, zeigt das iPhone eine Eingabeaufforderung für den Passcode an; in diesem speziellen Fall greifen die üblichen Beschränkungen von Apple zur Eingabe verschiedener Codes nicht, es können also beliebig viele Versuche durchgeführt werden. Der Hack funktioniert realistisch nur mit einem vierstelligen Passcode, normalerweise fordert Apple von Nutzern einen wesentlich robusteren sechsstelligen Code an.

Nach Angaben von Apple funktioniert der Angriff nur, wenn Nutzer die PIN kurz zuvor selbst geändert haben. Die Zeitspanne für den Start eines erfolgreichen Angriffs ist damit sehr kurz und beträgt nur rund zehn Minuten. Ein Angreifer bräuchte zudem unbeschränkten, längerfristigen Zugriff auf das Gerät. Auch in günstigen Fällen kann der Angriff auf einen vierstelligen Passcode noch mehrere Tage dauern, bei einem sechsstelligen Passcode sogar mehrere Monate.

Apple hat Golem.de auf Anfrage bestätigt, dass ein Angriff mit den geschilderten Einschränkungen grundsätzlich möglich ist. In der finalen Version von iOS 11 soll der beschriebene Angriff nicht mehr funktionieren, auch in der aktuellen Betaversion 4 von iOS 11 wurde der Bug bereits behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Top-Angebote
  1. 295,00€ (Bestpreis!)
  2. (u. a. Farming Simulator 19 für 17,99€, The Surge 2 für 39,99€, The Guild 2 Gold Edition für...
  3. 555,55€ (zzgl. Versandkosten)

Mastercontrol 22. Aug 2017

Soweit ich weiß geht der Timer nicht hoch wenn man die eingaben über USB macht. Nur bei...

StaTiC2206 22. Aug 2017

wenn die Tür offen steht und die Soldaten allesamt im Urlaub sind.. Also Aufregung sieht...

Baertiger1980 22. Aug 2017

Du hörst dir schon selber zu oder?


Folgen Sie uns
       


Apple iPad 7 - Fazit

Apples neues iPad 7 richtet sich an Nutzer im Einsteigerbereich. Im Test von Golem.de schneidet das Tablet aufgrund seines Preis-Leistungs-Verhältnisses sehr gut ab.

Apple iPad 7 - Fazit Video aufrufen
Mobile-Games-Auslese: Fantasypixel und Verkehrsplanung für unterwegs
Mobile-Games-Auslese
Fantasypixel und Verkehrsplanung für unterwegs

Wunderschöne Abenteuer in einer Fantasywelt bietet das Mobile Game Inmost, Verkehrsplanung auf mobilen Endgeräten gibt's in Mini Motorways - und mit The Swords of Ditto mehr als eine Hommage an The Legend of Zelda für unterwegs.
Von Rainer Sigl

  1. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  2. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  3. Dr. Mario World im Test Spielspaß für Privatpatienten

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

Fire TV Cube im Praxistest: Das beste Fire TV mit fast perfekter Alexa-Sprachsteuerung
Fire TV Cube im Praxistest
Das beste Fire TV mit fast perfekter Alexa-Sprachsteuerung

Der Fire TV Cube ist mehr als eine Kombination aus Fire TV Stick 4K und Echo Dot. Der Cube macht aus dem Fernseher einen besonders großen Echo Show mit sehr guter Sprachsteuerung und vorzüglicher Steuerung von Fremdgeräten. In einem Punkt patzt Amazon allerdings leider.
Ein Praxistest von Ingo Pakalski

  1. Zum Start von Apple TV+ Apple-TV-App nur für neuere Fire-TV-Geräte
  2. Amazon Youtube-App kommt auf alle Fire-TV-Modelle
  3. Amazon Fire TV hat 34 Millionen aktive Nutzer

    •  /