iphone-ticker.de — Alles zum iPhone. Seit 2007. 21 702 Artikel
Brute-Force-Angriff in Aktion

Video: Hardware-Box ermittelt iPhone-Passcode in 3 Tagen

Artikel auf Google Plus teilen.
37 Kommentare 37

Das Video des Youtubers EverythingApplePro schient Apple auf dem falschen Fuß erwischt zu haben. So reagierte Apple PR-Abteilung ungewöhnlich schnell auf den kurz vor dem Wochenende veröffentlichten Clip.

Passcode

Der im Video demonstrierte Brute-Force-Angriff auf den iPhone-Passcode sei nur unter Laborbedingungen möglich, würde bei sechsstelligen Codes bis zu einem Jahr dauern und würde spätestens mit der Ausgabe von iOS 11 behoben werden.

Worum ging es: Der Youtuber EverythingApplePro demonstrierte auf seinem Kanal einen kleinen Hardware-Kasten, mit dessen Hilfe die Passcodes von bis zu drei angeschlossenen iPhones automatisiert ermittelt werden konnten. Die rund $500 teure Box nutzte dafür einen Fehler im iOS-Betriebssystem aus, der das uneingeschränkte Raten möglicher Passcodes gestattete und für deren Eingabe lediglich eine USB-Verbindung benötigte.

Die Voraussetzungen für den Einsatz des Gerätes sind überschaubar: Die Box arbeitet ausschließlich mit iPhone 7 und iPhone 6/6s-Modellen zusammen, setzt ein Gerät im Wiederherstellungszustand voraus und kommt nur mit ausgewählten Versionen des iOS-Betriebssystems zurecht.

Sind entsprechende Modelle angeschlossen kann die Box den Passcode innerhalb von 3 Tagen (bei vierstelligen PINs) bzw. 374 Tagen (bei sechsstelligen PINs) ermittelt. Die kurzen Zeiten lassen sich jedoch nur erreichen, wenn der PIN innerhalb der letzten zehn Minuten geändert wurde. Ist dies nicht der Fall müssen bis zu 70 Tage (bei vierstelligen PINs) bzw. bis zu 19 Jahre (bei sechsstelligen PINs) eingeplant werden.

Laut Apple werden Strafverfolgungsbehörden die Hardware-Box nach der Veröffentlichung von iOS 11 nicht mehr einsetzen können.

Montag, 21. Aug 2017, 10:39 Uhr — Nicolas
37 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Auch iOS 11 wird (wie absolut jede Software) neue Fehler haben, die sich irgendwann, irgendwie ausnutzen lassen. Absolute Sicherheit wird es nie geben, nirgendwo und von keinem Hersteller. Jedem Sollte klar sein, dass er seine „persönlichen Staatsgeheimnisse“ einfach nicht speichern sollte, wenn sie nicht geknackt werden sollen.

    Letztlich kann jeder Schutz nur so sicher sein, dass der Aufwand für die Umgehung so hoch ist, dass er sich letztlich nicht lohnt. Beim Durschnittsnutzer liegt diese Hürde sicherlich schon bei 3 Tagen Pincode raten. Es lohnt sich also schon nicht 3 Tage zu investieren nur um die letzten WhatsApp vom Kollegen zu kommen…

  • Benutze seit Jahren ein Alphanumerischen Code. Ist man immer auf der sicheren Seite.

    • Die Einschränkung wird hier aber nicht gemacht. Daher wohl irrelevant. Allerdings ist der letzte satz wohl eher die Einschränkung, die jede Angst obsolet macht. Denn wessen Code ist schon juenger als 10 tage :))

      • sogar nur 10 Minuten!

      • Die „Einschränkung“ ist: Bei einem alphanumerischen Code sind die möglichen Kombinationen um ein vielfaches höher als bei einem reinen numerischen Code. Die mögliche Lösungszeit steigt von einem 4-stelligen zu einem 6-stelligen Code um das mehr als 100-fache.
        Bis der alphanumerische Code mittels Brute Force geknackt wurde liegt der Besitzer höchst wahrscheinlich schon unter der Erde.

      • @misterB3n3 das stimmt natürlich. Aber im Artikel wird nicht eingeschränkt, dass es sich bei dem 4stelligen Code um einen rein numerischen handelt. Die o.g. Berechnung kann also genauso bereits auf alphanumerischem Code basieren.
        Das meinte ich mit „diese Einschränkung wird hier aber nicht gemacht“.

  • „nur unter Laborbedingungen“… als ob so ein Teil im Handyshop um die Ecke im Regal läge

  • Bis zu 19 Jahre Entschlüsselungszeit reichen mir (als Sicherheit). ;-)

    • Du verstehst aber schon, was „bis zu“ bedeutet? Der Code kann auch schon nach 5 Minuten gefunden sein.

      • Hm, gut, sagt der Richter, starten wir den Vorgang und lassen und überraschen, ob es 5 Minuten oder 19 Jahre dauert…

      • Wenn die Chance besteht, noch vor einer möglichen Verjährung an belastendes Material zu gelangen? Oder jenseits von Verfahren an Daten von Interesse (s. Spionage, o.ä.)? Das alleine könnte ausreichen, Menschen unter Druck zu setzen.
        Außerdem ist ja doch sehr wahrscheinlich, dass das Verfahren innerhalb der nächsten Jahre so verfeinert werden kann, dass man deutlich schneller zum gewünschten Ergebnis gelangt. Was ja kein Geheimnis ist: einen sicheren Schutz kann es nur geben, wenn Hard- und Software aktuell sind. ;)

  • Wenn man ein per USB angeschlossenes iPhone hierzu benötigt, sollte Apple dringendst die Lightning Schnittstelle auch noch abschaffen *lol*.

  • „Die kurzen Zeiten lassen sich jedoch nur erreichen, wenn der PIN innerhalb der letzten zehn Minuten geändert wurde.“

    Wann ist das schon bitte der Fall…

  • Selten so gelacht: 19 Jahre Entschlüsselungszeit, wenn es länger als 10 Minuten her ist, dass ich meinen 6stelligen Code das letzte Mal geändert habe. Aber OK, die Gerichtsbarkeit hat ja alle Zeit der Welt…

  • wieso macht es einen unterschied wann der code geändert werden

  • was würde eigentlich passieren wenn ich ein Zeichen in einer anderen Sprache als Passcode nutzen würde, sagen wir mal einen chinesischen Buchstaben. Wenn ich jetzt die Tastatur Chinesisch in den Einstellungen deaktiviere, ist iOS dann so schlau und verhindert das, oder wird mein iPhone dann für immer gesperrt sein? Haha :) wer traut sich?

  • liege ich jetzt komplett daneben? für IOS-devices kann ich als passcode doch nur zahlen verwenden oder?

  • Ok. Ich nutze seit langem ein Wort als Passwort am Anfang und Ende je ein Sonderzeichen und am Ende eine Jahreszahl. Beispiel: !Ferrari1995? — 19 Jahre oder länger?

  • In den USA wird der „Verdächtige“ dann halt so lange festgesetzt, bis der Passcode entschlüsselt ist…!

  • TouchID sei dank nutze ich ein 24-stelliges Passwort. Viel Spass beim herausfinden via Bruteforce…

  • Genau! Und Interpol wird dich suchen und ausliefern.

  • Dann wünsche ich viel Spaß bei meinem iPhone…
    Mein Passcode besteht aus Groß- und Kleinbuchstaben, Zahlen und Zeichen und hat über zehn Zeichen. Das dürfte wohl einige Jahrzehnte dauern.

  • It‘s not a bug, it‘s a feature :D

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 21702 Artikel in den vergangenen 3735 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven