Sicherheitskonzept von Apple iOS

Wie sicher das iPhone mit Chroot, Verschlüsselung und Backup ist

14.02.2011 | Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Jeder Prozess läuft auf dem Apple iPhone in einer abgeschotteten Umgebung – zumindet vor einem Jailbreak.
Jeder Prozess läuft auf dem Apple iPhone in einer abgeschotteten Umgebung – zumindet vor einem Jailbreak.

Authentifizierung und Verschlüsselung

In keinem modernen Sicherheitskonzept dürfen Authentifizierung und Verschlüsselung fehlen, stellen sie doch einen unverzichtbaren Basisschutz gegen Missbrauch dar. Die Authentifizierung am iPhone erfolgt wie bei vielen anderen Smartphones auch über die Eingabe einer numerischen PIN oder eines alphanumerischen Passcodes.

In der Default-Konfiguration ist nur eine vierstellige PIN vorgesehen. Mit Hilfe des Konfigurationstools von Apple kann man diese Vorgabe ändern und zudem die Anzahl von Fehleingaben festlegen, nach denen sich das Telefon komplett löscht.

Bei der Verschlüsselung setzt Apple auf unterschiedliche Systeme. Die Festplatte wird mit einer AES-Hardwareverschlüsselung gegen ein Auslesen nach Ausbau geschützt. In der Praxis ist diese Verschlüsselung allerdings wenig hilfreich, da beim Hochfahren des Smartphones die Entschlüsselung automatisch und ohne jegliche Authentifizierung aktiviert wird.

Um die über iTunes erstellten Backups vor Missbrauch zu schützen, können diese ebenfalls verschlüsselt abgelegt werden. Dabei werden beim Erstellen von Backups die Daten auf dem Telefon verschlüsselt und dann von iTunes auf der lokalen Windows- oder Mac-OS-Festplatte abgelegt. Der bei anderen Smartphones mögliche Trick, die USB-Schnittstelle abzuhören und aus dem unverschlüsselt übertragenen Backup die Daten zu rekonstruieren, funktioniert hier nicht.

Passcode, WLAN-Passwörter sowie andere Authentifizierungsdaten werden auf dem iPhone in Form von Hashwerten gespeichert. Gelingt es einem Angreifer, an die verschlüsselten Passwörter heranzukommen, so muss er diese noch durch einen Passwort-Cracker schicken. Dann hängt es von der Qualität der Passwörter ab, ob dieser Angriff erfolgreich ist oder nicht.

Risiken und Nebenwirkungen

Es ist leicht zu erkennen, dass das iOS-Sicherheitskonzept Mängel hat. Diese sind zum großen Teil den Randbedingungen geschuldet, die sich aus einem mobilen Einsatz ergeben. Es soll so viel Prozessorleistung wie möglich den Anwendungen zur Verfügung stehen, Sicherheitsüberlegungen sind dabei leider in den Hintergrund getreten.

Mit nur einem einzigen Schutzwall, der Chroot-Umgebung, ist das iPhone zwar schnell. Gegenüber einem mehrstufigen Schutzsysteme wie etwa einem Windows-PC mit Virenscanner und Firewall muss man aber deutliche Abstriche bei der Sicherheit hinnehmen.

Eine große Schwachstelle ist dabei der Start vieler Prozesse mit Root-Rechten. Die sich dadurch ergebende Vereinfachung bei der Rechteverwaltung wird teuer erkauft. Insbesondere Netzwerkprozesse wie etwa Safari sind hochgradig gefährdet.

Über Programmierfehler in Anwendungen mit dadurch möglichen Pufferüberläufen ist ein Root-Zugriff für Malware ein Kinderspiel. Abgesehen vom Einspielen von Software-Updates existieren an dieser Stelle keine wirksamen Schutzmaßnahmen.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2049696 / Kommunikation)