Für Behörden: Forensik-Software extrahiert iCloud-Schlüsselbund

Das russische Softwarehaus ElcomSoft beliefert Strafverfolgungsbehörden mit Software-Lösungen, die den Zugriff auf iPhone- und iPad-Modelle erleichtern sollen und sorgte zuletzt mit seinem „iOS Forensic Toolkit“ und dem „Explorer for WhatsApp„für Schlagzeilen. Letztgenannter ist unter anderem in der Lage WhatsApp-Daten aus der iCloud extrahieren konnte.

Die 1495€ teure OS X-Anwendung der russischen Entwickler kann auch Daten einsehen, die anderweitig grundsätzlich unzugänglich bleiben, etwa die Apple ID, Benutzer-Password und Daten aus Apples Schlüsselbund (Keychain), der wiederum Zugangsdaten und Login-Informationen zu einer Vielzahl weiterer Dienste enthält. Auf Geräten mit iOS 7 kann die Bildschirmsperre mit dem Tool innerhalb von 10 bis 40 Minuten umgangen werden.

Jetzt hat Elcomsoft Version 7 seines ElcomSoft Phone Breaker vorgestellt, mit dessen Hilfe Passwörter aus dem Cloud-Speicher von Apple, dem iCloud-Schlüsselbund, extrahiert und entschlüsselt werden können.

Elcomsoft erklärt:

Der forensische Zugang zum iOS-Schlüsselbund erweist sich aufgrund mehrerer Verschlüsselungsstufen als sehr schwierig. Der in einer iCloud-Sicherung gespeicherte Schlüsselbund ist mit einem hardwarebasierten Encryption Key sicher verschlüsselt und kann nur auf dem Gerät wiederhergestellt werden, von dem es gespeichert wurde. Der forensische Zugriff auf hardwareverschlüsselte Schlüsselbunde ist außer bei wenigen Ausnahmen (ältere Geräte, Jailbreak) unmöglich. Für die Extraktion des Schlüsselbundes kann eine passwortgeschützte lokale Sicherung verwendet werden – wenn jedoch die Sicherung mit einem langen, unbekannten Passwort geschützt ist, kann ein Brute-Force-Angriff erhebliche Zeit in Anspruch nehmen und im schlimmsten Fall fruchtlos sein. […] Elcomsoft Phone Breaker 7.0 ist das erste Tool, das auf die im iCloud-Schlüsselbund gespeicherten Informationen zugreifen kann. Die Daten werden direkt aus dem iCloud-Konto des Benutzers ausgelesen. Um auf den iCloud-Schlüsselbund zugreifen zu können, sind das Apple ID-Login und das dazugehörige Passwort des Benutzer erforderlich.

Doch nicht nur der Apple ID-Login muss den Strafverfolgungsbehörden bekannt sein um den Passwort-Speicher auszulesen. Ist die Zwei-Faktor-Authentifizierung im Benutzerkonto aktiviert, ist zudem der Zugriff auf ein vertrauenswürdiges Gerät zusammen mit dem Geräte-Passcode notwendig.

Wenn die Zwei-Faktor-Authentifizierung deaktiviert ist, müssen Experten eine Benachrichtigungsaufforderung auf einem der vertrauenswürdigen Geräte bestätigen und den iCloud Security Code des Benutzers eingeben.

Der Elcomsoft Phone Breaker 7.0 ist sowohl für Windows als auch für macOS verfügbar. Erhältlich sind die Versionen Home, Professional und Forensic. Zugriff auf die iCloud ist nur in den Professional- und Forensic-Editionen verfügbar, während der Passwort-freie iCloud-Zugang sowie die Möglichkeit, beliebige Informationen aus der iCloud und vom iCloud Drive herunterzuladen, nur in der Forensic-Edition verfügbar sind.

Die Professional-Ausgabe der App ist für 199 Euro zuzüglich Mehrwertsteuer erhältlich, während die Forensic-Edition, die Over-the-Air-Zugriff auf iCloud-Daten und Unterstützung für binäre Authentifizierungs-Token bietet, für 799 Euro zuzüglich Mehrwertsteuer erworben werden kann. Für die Home-Edition werden nach wie vor 79 Euro zuzüglich Mehrwertsteuer verlangt.