iPhone weg, Passwörter weg, Notfallplan her! Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.02.2011 Edmund E. Lindau

iPhone weg, Passwörter weg, Notfallplan her!

Eine Schwachstelle im Sicherheitsdesign auf iPhone und iPad betrifft alle Geräte mit der neuesten Firmware iOS 4.2.1.

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat eine Schwachstelle im Sicherheits­system von Apples iPhone entdeckt. Hierüber können Angreifer die Code-Sperre des Gerätes binnen sechs Minuten ­umgehen und in den Besitz sämtlicher Passwörter des Handy-Besitzers gelangen. Wer sein iPhone verliert, dessen Pass­wörter sind nicht sicher. Besitzer von ­Apples iPhone sollten bei Verlust ihres Smartphones sofort alle ihre Passwörter, wie zum Beispiel das Kennwort für den E-Mail Account oder das Facebook-Konto, ändern, auch wenn das Gerät mit einer Code-Sperre vor Zugriff durch Fremde geschützt ist.

Wird das Gerät im Unternehmen eingesetzt, ist unter Umständen auch die Sicherheit des Firmennetzwerks bedroht. Die Schwachstelle im Sicherheitsdesign auf iPhone und iPad betrifft alle Geräte mit der neuesten Firmware (iOS 4.2.1). Nur Unternehmen, die auf solche Angriffe vorbereitet sind, können die entsprechenden Risiken deutlich reduzieren.

EIN TRUGSCHLUSS Viele Menschen glauben, dass die Geräteverschlüsselung von Smartphones für ausreichende Sicherheit sorgt. »Selbst in den Sicherheit­sabteilungen von Unternehmen sind wir immer wieder auf diese Einschätzung ­gestoßen«, sagt Jens Heider, technischer Leiter im Testlabor IT-Sicherheit am Fraunhofer SIT. »Unsere Demonstration beweist, dass dies ein Trugschluss ist. Selbst Geräte, die mit hohen Sicherheitseinstellungen betrieben werden, ließen sich in kürzester Zeit knacken.« Um an die Passwörter zu gelangen, die auf dem Gerät in der Keychain gespeichert sind, mussten die Tester die eigentliche 256-Bit-Verschlüsselung gar nicht brechen. Vielmehr machten sie sich eine Schwäche im Sicherheits­design zunutze: Das grundlegende Geheimnis, auf dem die Verschlüsselung der angegriffenen Passwörter bei iPhone und iPad basiert, wird im aktuellen Betriebssystem auf dem Gerät gespeichert. Dadurch ist die Verschlüsselung unabhängig vom persönlichen Kennwort, das den Zugang zum Gerät eigentlich schützen soll.

Der Angriff ist bei jedem Gerät mit dem iOS-Betriebssystem möglich. Sobald ein Angreifer im Besitz eines iPhones oder iPads ist und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten, z.B. bei sozialen Netzwerken, muss der Angreifer einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer.

Unternehmen, die sich vor den Folgen solcher Angriffe schützen möchten, sollten ihre Mitarbeiter entsprechend sensibilisieren und entsprechende Notfall-Abläufe einführen. Wenn ein Mitarbeiter sein iPhone verliert, sollte nicht nur er alle seine Passwörter ändern, auch die Firma sollte die betreffenden Netzkennungen so schnell wie möglich erneuern. Weitere Informationen finden Interessierte unter www.sit.fraunhofer.de.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr

Hosted by:    Security Monitoring by: