iTunes: Backup-Einspielung entfernt Passcode-Schutz
Die mit „Sicherheitslücke bei iTunes ermöglicht Datenklau“ überschriebene Pressemitteilung der Computerbild liest sich auf den ersten Blick zwar etwas hysterisch, der Hinweis aus den CB-Redaktionsräumen scheint jedoch valide.
So berichtet das Einsteiger-Magazin in seiner aktuellen Ausgabe über ein Datenschutz-technisch bedenkliches Problem der von iTunes angefertigten iOS Geräte-Backups. Trotz Code-Sperre, so die Info zum neuen Jahr, können sich Dritte die im Besitz eines gefundenen bzw. entwendeten iPhones sind mit einem simplen Trick Zugang zu E-Mails, Fotos sowie Kalender- und Kontaktdaten verschaffen:
„Um an die gespeicherten Daten auf einem Apple-Gerät zu gelangen, muss man lediglich eint fremdes iPhone oder iPad per Docking-Kabel an einen PC mit gestartetem iTunes anschließen. Akzeptiert die Software das fremde Gerät, wird per rechtem Mausklick über die Funktion „Speichern“ ein Backup erstellt. Danach wird das iPhone oder iPad per Home-Button und Power-Knopf neu gestartet. iTunes erkennt danach ein neues Gerät, auf das sich die Sicherungsdatei des ehemals per Code-Sperre gesicherten iPhones oder iPads übertragen lässt.
Weil iTunes das Backup ohne Code-Sperre auf das Handy zurückspielt, kann nach dem Backup jeder auf die privaten Daten des Gerätebesitzers zugreifen. Eine neue Mobilfunkkarte (SIM) mit bekannter Kartensperre-PIN macht aus dem Diebesgut dann noch ein vollwertiges Handy oder einen Tablet-PC.“
Apple selbst ist bereits unterrichtet, hat zum Thema bislang jedoch noch keine Stellungnahme abgegeben. Die Passcode-Sperre des iPhones wurde zuletzt im März 2011 vom Fraunhofer SIT kritisiert (wir berichteten) und lässt sich mit den richtigen Werkzeugen in durchschnittlich 20 Minuten brechen. Danke Christian.
das zitat ist doch völliger quatsch… „Danach wird das iPhone oder iPad per Home-Button und Power-Knopf neu gestartet. iTunes erkennt danach ein neues Gerät, auf das sich die Sicherungsdatei des ehemals per Code-Sperre gesicherten iPhones oder iPads übertragen lässt. “
bei mir verlangt er zum rückspielen des backups das passwort (der sicherung) oder er spielt es nicht zurück. natürlich sollte man das backup sicher (mit kennwort) sichern (einmalig auf dem eigenen rechner), dann sollte er auch alle weiteren backups auf anderen rechnern sicher sichern.
Bist du sicher, dass er sicher sichern will auf anderen Sicherungs-PC? Sicherheitshalber sollte man das mal testen :-)
So doof sind die bei der CB vielleicht doch nicht, dass sie das nicht vorher mal ausprobiert haben.
Also wer probiert das mal?
Das ist korrekt, die Einstellung welche die Verschlüsselung der Backups regelt wird einmalig per iTunes oder Mobile Device Management gesetzt und ist dann auf dem Device konfiguriert und nicht etwa in der (einen) iTunes Installation verdrahtet.
Ob man seine iTunes-Backups allerdings tatsächlich verschlüsseln sollte oder nicht steht auf einem anderen Blatt und es würde an dieser Stelle zu weit führen davon im Einzelfall abzuraten..
iMick
Schön, dass das die ComputerBLÖD jetzt ihrer Zielgruppe so schön erklärt hat. Da können die Kids wenigstens was anfangen mit den „beschafften“ iDevices.
Also manchmal steht man echt fassungslos vor der deutschen Journaille…
Was ist eigentlich mit bei Apple als gestohlen gemeldeten Geräten? Verweigert Apple dann wenigstens die Geräteaktivierung?
wer sie liesst, die journaille, der darf auch fassungslos sein. es wird einem ja sowieso schon so viel abgenommen, warum nicht auch die fassung. (da, wo die birne reingeschraubt wird für das erhellende licht…)
iTunes verbindet sich ohne Codeeingabe erst gar nicht mit dem Device, erlaubt also somit auch keine Erstellung eines Backups.
Testen die Kameraden Ihre „Tipps“ eigentlich gar nicht?
iMick
Nein, die Infos werden bei denen von irgendwoher übernommen. Bei mir wirft iTunes eine Fehlermeldung das kein Backup erstellt werden konnte solange der Passcode nicht eingegeben wurde… 0x003 Blablabla
Somit muss man also das iPhone UND den Rechner mit dem Backup klauen. Und sowas ist dann einfach nur noch Dummheit und gleichzusetzen mit dem einritzen des Passcodes auf der Geräterückseite…
hab ich auch gedacht…
Genau so ist es! Man muss auf dem iPhone den Passcode eingeben, wenn man es das erste mal an ein fremdes iTunes anschließt. Tut man dies nicht kann man auch kein Backup erstellen.
kann ich nur bestätigen, hatte gerade erst vor kurzem solch einen fall. ohne code eingabe macht itunes kein backup ;)
hmm. also bei mir verlangt er den code nur ab und an. sehr zuverlässig ist das nicht
@Mercalli & Thomas: ihr habt aber sicherlich auch den gleichen schon autorisierten PC verwendet. Sobald ihr an einen fremden PC geht kommt die Abfrage immer …
Ich bin selbst erschrocken als ich mein Ersatziphone erhielt, dass das eingespielte Backup kein Passcodeschutz dabei hatte (am iPhone…)
Genau so ist es!
War das nicht schon immer so?
Wiederherstellen – Backup einspielen und dann kommt doch immer die Meldung „Dieser iPod war Passwortgeschützt, bitte geben Sie ein neues Kennwort ein.“
Ich wäre froh, wenn Apple die Möglichkeit schaffen würde, das Passwort für’s Backup auf dem PC zurück zu setzen falls man’s vergessen hat. Meins funktioniert nicht mehr und es gibt wohl keine Möglichkeit ein neues zu erstellen.
So sind 700 Foto’s und 70 Videos und X Notizen megasicher auf dem PC und ich komm nicht mehr ran.
Antwort der Apple-Help-Line nach 15,- Gesprächkosten: „sie können es ja so oft versuchen wie sie wollen, vielleicht haben sie ja Glück…“
Bei jedem anderen kann man Sicherheitsfragen etablieren, oder bekommt ein neues Passwort per E-Mail.
Naja, Apple „think different“
Apple hat die Möglichkeit bereits geschaffen – die iTunes Backup-Encryption ist doch längst gefallen.
Je nach dem was Dir Deine Fotos, Videos und Notizen so wert sind, solltest Du Dich mal mit den Produkten der Firma Elcomsoft beschäftigen (http://www.elcomsoft.com/eppb......html) oder nach freien Alternativen suchen. Verloren sind Deine Daten jedenfalls lange noch nicht..
iMick
Hatte mir schon was geladen, aber das Programm konnte nur unverschlüsselte Backups encrypten.
Naja, das die Daten nicht verloren sind ist mir schon bewusst.
Danke für den Tipp!
Warum rufst du nicht die kostenfreie Nummer 0800 2000 136 an? Beim Telefoncomputer erst die 2, später die 1 drücken und du genießt einen kostenfreien Kundenservice.
Auch, wenn es für Dich jetzt schmerzhaft ist, aber das ist nunmal der Sinn einer Verschlüsselung. Könnte man das Kennwort nachträglich zurücksetzen würde dies die Verschlüsselung ad absurdum führen…
naja man sollte nicht alles Glauben was in diesen Schmierblättern steht. Computerbild oh man
Ich kann mit ziemlicher Sicherheit sagen das der Code NICHT entfernt wird!!
Na ja, „mit ziemlicher Sicherheit“ ist alles andere als sicher ;) Fakt ist: Der Code wird entfernt. Allerdings muss man, um ein Backup eines mit einem Code gesicherten iPhones zu erstellen, beim erstmaligen Anschließen an den Rechner den Code auf dem iPhone eingeben, um es freizuschalten…
also: vor kurzem hatte ich einen sperrcode eingespeichert, diesen jedoch in der hektik auf einer reise vergessen. mehrmals falsch eingegeben, dann wurde „verbinden mit itunes“ angezeigt. gesagt, getan. auf itunes wurde KEIN sperrcode verlangt, ich konnte problemlos ein backup machen. nach dem backup hab ich das iphone (immer noch mit unbekanntem sperrcode versehen!) via itunes wiederhergestellt und als neues iphone konfiguriert. danach hab ich das backup aufgespielt – es kam die frage, ob ich den sperrcode verwenden möchte oder nicht. das hab ich verneint – daraufhin wurde das gesamte backup auf das iphone gespielt und der vergessene sperrcode war weg.
Du hast aber jawohl deinen PC verwendet und nicht einen fremden. Dein iTunes ist ja auch autorisiert. Wenn dir jemand sein iPhone UND deinen PC mit iTunes klaut ist das keine „Sicherheitslücke“ sondern fahrlässig ;)
eben nicht, wie unten als nachsatz geschrieben, den pc meiner freundin, an den ich mein iphone noch nie angeschlossen hatte…
zu spät gesehen. Aber ohne irgendeine Querverbindung fände ich das schon komisch. Vielleicht mal nur bei deiner Freundin eingeloggt mit deiner Apple ID um Apps zu tauschen etc.?
Ich habe mittlerweile über 50 iPhones diverser Versionen aus Bekannten- und Freundeskreis zurücksetzen/jailbreaken etc. dürfen und das Problem trat nie auf. iTunes hat bislang immer eine Fehlermeldung geworfen wenn der Passcode nicht eingegeben wurde. Da würde mich mal echt die Konfiguration interessieren welche Hardware und welche Software-Versionen verwendet wurden
nachsatz: die beschriebene vorgangsweise habe ich am pc meiner freundin – also nicht auf meinem – mit fremdem itunes gemacht.
Kaum zu glauben, da müsste man jetzt mal ganz genau auf iOS und iTunes Versionen schauen und andere Eventualitäten ausschließen.
By Design geht das jedenfalls nicht, praktische Tests (außer Deinem..) untermauern das.
iMick
Hallo hat das mal einer versucht erst in den dfu Modus dann anschließen denn dann sollte es als neues Gerät erkannt werden. Ach und jetzt nich gleich unhöflich und beschimpfend werden ich hab es selber noch nicht getestet und wenn jetzt jemand sagt klar aber dann sind die Daten weg. Dann sag ich is doch egal aber ich hab nen neuen Apfel für umme
Das geht ohne Probleme. Wenn alles zurückgesetzt ist kannst du es quasi frei von allem benutzen. Einzig wegen Unterschlagung könnte man einen auf den Deckel bekommen wenn der Besitzer über seine Geräte ID das Gerät als geklaut bekannt gibt. Wobei Apple die Geräte eigentlich nicht zur Aktivierung sperrt. Selbst die Geräte die direkt aus den Apple Stores geklaut werden können aktiviert werden und sind erst beim Weiterverkauf erkannt worden