Heise: Ubuntu umgeht Hardware-Verschlüsselung des iPhones
Mit Verweis auf die Observationen des LINX-Mitarbeiters Bernd Marienfeldt stellt das Heise-Redaktionsteam der im iPhone verbauten Hardware-Verschlüsselung schlechte Noten aus. Angeschlossen an einen Ubuntu-Rechner – über die zunehmende Linux-Unterstützung für das iPhone berichteten wir zuletzt vor knapp drei Wochen – lässt sich auf die Festplatte eines iPhones auch bei aktiver Hardware-Verschlüsselung und ohne die Passcode-Sperre deaktivieren zu müssen, zugreifen.
„[…] Wenn er das Gerät in ausgeschaltetem Zustand anschloss und dann startete, band Ubuntus Automounter das Dateisystem sofort ein und gewährte den Zugriff auf mehrere Ordner – obwohl das iPhone vorher noch nie damit verbunden war. […] Ein Ubuntu-System, das zuvor noch nie mit dem iPhone „gesprochen“ hatte, zeigte sofort eine Reihe von Ordnern an. Dort fanden sich unter anderem alle auf dem Mobilgerät gespeicherten Bilder, MP3s und Audioaufzeichnungen.“
Einmal mehr sieht sich Apple hier mit harscher Kritik von ausgemachten Sicherheits-Experten konfrontiert. Mit Blick auf den im Februar veröffentlichten „Man in the middle“-Angriff sowie das zur Black-Hat Konferenz publizierte iPhone Privacy Paper zählen wir allein in diesem Jahr bereits die dritte, grobe Lücke in den werksseitig verbauten Schutzmechanismen des iPhones. Danke Sesse!
Tja, bei anderen Systemen wäre das schon vor Monaten aufgefallen, warum hat Apple nur so eine „Schonfrist“ bei all solchen Themen?
Und wie so was in den Medien breitgetreten werden würde, BILD würde einen Skandal ausrufen, aber bei Apple nicht.
Die Bild???!!! Na und? Halbwegs gebildete Menschen lesen so etwas nicht, bzw. wissen WIE man ein solches Blatt zu lesen hat!
Man, das war „bild“lich gesprochen, es geht ums Prinzip das Apple hauptsächlich nur positiv in den Medien (welcher Art auch immer) dargestellt wird!
der springerkonzern hat unter matthias döpfner erst kürzlich von windows auf apple unter macos und win(bootcamp) umgestellt.
die sind komplett auf apples seite. da kam einges an apple hardware ins haus ;-))
Sowas kommt hier in den Medien auch nur unter ‚ferner liefen‘;
es ist an für sich schon schlimm genung :(
-B*ld- http://bit.ly/bvyolL
-SpOn- http://bit.ly/aZKGk9
*fuck* Angesichts derartiger Meldungen sollte man Apple Produkte boykottieren!
@bigmac
und wenn wir schon dabei sind, gleich noch die produkte von hp und dell, die lassen auch bei foxconn produzieren
Bei folgenden anderen Systemen ist diese Sicherheitslücke schon seit längerem bekannt:
Android OS
Symbian
Windows Mobile
usw.
Diese Sicherheitslücke tritt auf, wenn man ein solches Gerät einfach mit irgendeinem Computer mit MacOS, Windows oder einer beliebigen Linuxversion verbindet.
Alle Systeme bei denen diese Sicherheitslücke auftrat wurden dafür bisher gelobt, bis auf das iPhone OS. Von einem Skandal war nicht einmal in der Bild zu lesen.
Glaube du hast nicht verstanden um was es geht.
Von was redest Du bitte? Ich glaube auch, du verstehst nicht, um was es geht.
Interressant!
Hatte ich schon bei der Ubuntu 10.4 beta bemerkt das ich auf das iPhone zugreifen konnte und sogar die Musik auf den computer kopieren konnte. Beim apsieken der kopierten Musik auf dem Computer war es allerdings etwas verzerrt. So richtig Freude kommt dabei nicht auf. Aber schon erstaunlich das man da so einfach rankommt.
Was zum Teufel ist „apsieken“?
Vielleicht abspielen? Nur in der iPhone-Schreibweise
hmm naja bei windows gibts ja programme mit denen man aufs iphone zugreifen kann unter arbeitsplatz… mussten die nur portieren und ins system integrieren also so toll ist das ja auch wieder nicht
häh? beitrag bitte nochmal laaaangsam lesen.. :)
Von Sicherheit haben sie echt noch wenig Ahnung. Das man das 3GS so leicht downgraden kann liegt an einem ganz einfachen Fehler, da kein salt benutzt wird.
@Netsak
Nicht ohne JB
ok dann mein fehler
Die Festplatte eines iPhones? Pruuuust!
Ja, da musste ich auch lachen :D
Ich verstehe nicht was so schlimm daran ist:
„, zeigte sofort eine Reihe von Ordnern an. Dort fanden sich unter anderem alle auf dem Mobilgerät gespeicherten Bilder, MP3s und Audioaufzeichnungen.“
ja und … ?
Solange keine anderen Ordner sichtbar sind ist das doch kein Problem sondern vielleicht sogar erwünscht?
Fragt sich nur, von wem..!?!
Genau, it´s not a bug, it´s a feature! Heil Steve und so… o_O
Skandal ;)
sonst wird sich beschwert das Apple so dicht gemacht hat. Jezt kommt eine gegenteilige meldung und das is dan wieder schlimm. Ich würde es begrüßen wen das iPhone sich an jedem Pc offenbaren würde.
Also ich verstehe die Aufregung gar nicht. Weder die, dass ständig übers iPhone gemekert wird (kauft euch doch ein anderes !), noch verstehe ich die Aufregung hier. Ich hab auch von sowas keine Ahnung, aber warum ist das denn bittesehr schlimm?! Ständig wird gesagt, dass es so schlecht ist, dass das iPhone ein gechlossenes System hat. Jetzt ist es nicht so und das ist ebenfalls schlecht?!
Ach ja, um über Apple Produkte zu lästern, sollte man vielleicht nicht umbedingt in einem Appleforum/Blog lesen ;)
LOL,.. je mehr Kommentare ich lese, desto lustiger werden sie. Nen geschlossenes System mit nem Race Condition Fehler der Hardwareverschlüsselung des iPhone zu vergleichen ist schon geil.. :)
Ich schrieb, dass ich keine Ahnung habe.
Erst lesen, dann „freaken“ ;)
nevermind.
Wo ist jetzt das Problem?
„Dort fanden sich unter anderem alle auf dem Mobilgerät gespeicherten Bilder, MP3s und Audioaufzeichnungen.”
Das ging mit Nokia und Co. schon unter Windows, Suse und Mac osx. …
Darüber regt sich keiner auf!
Also was soll das Kinderteater hier?!
Mal wieder ganz grosses Kino hier…wer lesen kann, ist -wie immer- klar im Vorteil:
[Zitat Heise-Artikel]
Ein verlorenes iPhone stellt ein größeres Problem dar, als bisher gedacht. Denn trotz Verschlüsselung kann der Finder ganz einfach auf Daten wie Fotos oder Audioaufnahmen zugreifen. Das geht selbst dann, wenn der Besitzer sein iPhone mit einem Pass-Code [*bling*] gesperrt hat …
[Zitat Ende]
Jetzt vielleicht geschnallt, Herrschaften?
*kopfschüttel..*
Danke
It’s a feature not a bug. :P
Ich verstehe diese Geschichte nicht. Von welcher „Hardwareverschlüsselung“ sprechen die denn?
Auf diese Ordner konnte man doch schon immer unter jedem Betriebssystem zugreifen, auch mit Mac OSX.
Das ist doch nix neues. Bisher hat das niemanden gestört, warum jetzt plötzlich?
Vielleicht handelt es sich auch bloss um Lobbyarbeit der Google Armee und keiner hats gemerkt ;-)
An dieser News merkt man schön wieviele Apple Fanboys es gibt, es geht nicht darum das der Zugriff auf die Ordner möglich ist, was bei vielen Handys sowieso Standard ist und als Feature angesehen wird, es geht darum das eine 256 Bit AES Verschlüsselung mit einfachsten Mitteln (das ist sogar noch untertrieben) einfach umgangen werden kann. Wenn es keine Verschlüsselung beim 3GS geben würde, würde es jetzt keine News dazu geben, denn dann wäre es normal. Wenn man aber davon ausgeht, das seine Daten verschlüsselt hinterlegt werden (was normal auch der Fall ist beim 3GS) und diese dann aber ohne irgendwelches Wissen/Können trotzdem gelesen werden können, ist die Verschlüsselung nunmal unwirksam. Und das ist eine Sicherheitsrelevante Geschichte. Ich verstehe nicht wie man sowas schön reden kann. Es ist kein Weltuntergang, aber auch nix was man einfach unter dem Tisch fallen lasen kann. Und natürlich kannst du mit deinem eigenen PC mit dem das iPhone bereits gesynced wurde auf die Ordner zugreifen weil deinem Rechner dann der Key bekannt ist. Es sollte aber nunmal nicht mit „fremden“ Rechnern möglich sein. Dann kann ich über die Leute die sowas schön reden nur den Kopf schütteln. Das ist in etwa so als wenn man bei einer Bankkarte einen beliebigen PIN eingeben kann und Zugriff auf das Konto erhalte statt den richtigen…(dramatisiert ausgedrückt). Und nein ich habe nix gegen das iPhone oder gegen Apple, ich selber hab ein 3G bin damit absolut zufrieden und werde mir auch das neue holen, aber sowas muss man nicht schön reden…
Dann aber auch gleich Intel, Dell Hewlett- Packard, Zoostorm, Sony (PS2&3), Nintendo (Wii), Microsoft (Xbox360), Motorola, Amazon (Kindle) und Cisco.
Die lassen sich alle von dort ihre Hardware bauen, die Firma hat 400.000 Angestellte!
Das verschweigen unsere „Qualitätsmedien“ natürlich.
Traurig ist auch der Fakt, dass die Selbstmordrate in China bei
13.9/1000 Personen pro Jahr liegt. Demnach sind das also ungewöhnlich wenige Fälle.
ähhh, sorry, das war als Antwort zu #bigmac’s Konmentar am 26.5., 16:45 Uhr gedacht!
Ich vermute mal ganz stark, das die benannten Daten gar nicht von der Verachluesselng betroffen sind. Interessant wäre es doch mal zu wissen, ob auch wirklich sensible Daten (Email, SMS, Adressbuch, Kalender) trotz aktivierter Verschlüsselung so einfach zugänglich sind. Meine Vermutung: Nein!
Also ich zähle Fotos durchaus zu den sensiblen Daten, ebenso die Audioaufnahmen der Diktierfunktion. Mag in Lätschen-Heft (Facebook) Zeiten und von vielen Studenten oft anders gesehen werden, wennst aber Selbstständiger bist oder das iPhone beruflich nutzt… dann wird’s eng. Unsere Sicherheitsleute in der IT werden da hellhörig… mal sehen wie lange Apple bis zum Schließen der Lücke braucht oder wie schnell die Unternehmen wieder zurück auf die alten Blackberrys springen, die noch in den Schubladen rumliegen.
Doch sind sie, lies einfach den Heise Artikel. Immer dieses schön reden statt sich mal zu infomieren…
Ich lösche auf meinem iPhone sofort die Ordner MP3 und Bilder. Sicher ist sicher.
is doch hammer!
ich werde mir jetzt kein ubuntu rauf machen weil ich auch so vollen zugriff habe
aber schon gut zu wissen
meine frage:
haben die von apple nicht gedacht das das jemand nen iphone an ubuntu anschließt?
aber auch egal
sowas kommt halt raus, wenn man über jahre auf closed source und security by obscurity setzt. verschlüsselungsfunktionen die nicht verschlüsseln sondern nur prüfen, ob auf die unverschlüsselte datei zugegriffen werden darf hab ich jedenfalls seit jahren nirgendwo mehr in der freien wildbahn gesehen.
vielleicht möchte man sich bei apple mal luks ansehen um eine idee zu kriegen wie das mit verschlüsselung richtig läuft? ist allerdings fieser, itunes-inkompatibler open source.
dass gleich wieder die ersten fanboys im fehlerhaften konzept von apple ein feature sehen war ebenfalls zu erwarten. schade, dass sich diese erwartungen immer wieder bestätigen.
na ja natürlich ist es absoluter murks, wenn ein gesichertes system sich so leicht austricksen lässt, das muss abgeschafft werden und entspricht nicht dem stand der technik.
allerdings muss das iphone ja angeschlossen werden um auf ein paar ordner mit bildern etc. zuzugreifen, wenn man bedenkt das die meisten iphones gar nicht per vierstelligem code gesichert sind ist das nebensächlich und selbst wenn, nimmt man pro codeeingabe mal zwei sekunden an legt jedes iphone in spätestens rund 6std. seinen inhalt offen :-) geduld ist eben auch eine tugend.
stimmt schon, dass man bei einem vierstelligen Code mit Möglichkeiten von 0 bis 9
10.000 Möglichkeiten hat (10^4) und somit theoretisch max. 5,55* Stunden braucht bei 2s pro Versuch
Jedoch ist das iPhone in dieser Hinsicht wesentlich sicherer als bei der Hardwareverschlüsselung, denn nach 3 falschen Eingaben wird es für 1min gesperrt, nach der Wartezeit wird sofort beim nächsten falschen Code für 5min gesperrt, dann für 15min usw…
also wirds eher Tage/Wochen/Monate dauern…
wenn mein Vorhaben funktioniert, ist diese Sicherheitslücke jedoch meine Rettung
Mein iPhone ist mir letzte Woche ins Wasser gefallen und mein letztes Backup ist leider nicht das aktuellste
Es lässt sich zwar einschalten, kommt jedoch nurmehr in den Wartungs- bzw. DFU-Modus
iTunes kann nichts wiederherstellen, da bekomm ich immer den Fehler 28, mit allen möglichen anderen Programmen unter Windows oder OS X erkennt er das iPhone nicht
Werd Ubuntu mal in ner VM installieren und hoffen, dass ich damit wenigstens meine Daten retten kann
oder kennt ihr noch eine andere Möglichkeit?
Also auf BILDER konnte man immer zugreifen.
Ist ja schonmal scheisse das man es unter Windows per Arbeitsplatz importieren muss.
Bei meinem iPod Nano 5G kann man auch auf die Musik zugreifen, die sind aber unlogisch in Ordner verteilt und haben Namen wie: oKf45