Im iCloud-Schlüsselbund liegen unter Umständen zahlreiche wichtige Daten.
(Bild: Elcomsoft)
Die Software ermöglicht, in der iCloud-Keychain gespeicherten Zugangsdaten innerhalb weniger Minuten auszulesen, verspricht der Hersteller. Der Zugriff erfordert die Kenntnis des Apple-ID-Passworts sowie die Kontrolle über Apple-Hardware der Zielperson.
Ein erstes Forensik-Tool ermöglicht Strafverfolgern, die im iCloud-Schlüsselbund gespeicherten Zugangsdaten einer Zielperson auszulesen: Die Software Elcomsoft Phone Breaker soll in neuer Version 7 die auf iPhone, iPad oder Mac gespeicherten Benutzernamen und Passwörter “innerhalb weniger Minuten” extrahieren, wie der Hersteller nun mitteilte. Ermittler können durch die ausgelesenen Daten dann Zugriff auf andere vom Nutzer eingesetzte Dienste erhalten sowie auf weitere dort gespeicherte Informationen zurückgreifen – etwa Kreditkartendaten.
iCloud-Keychain-Zugriff setzt Kontrolle über Hardware und Apple-ID voraus
Das Auslesen der iCloud-Keychain-Daten ist allerdings nur unter bestimmten Bedingungen möglich und setzt voraus, dass sowohl die Apple-ID-Zugangsdaten bekannt sind als auch ein Gerät der Zielperson unter – zumindest temporärer – Kontrolle der Ermittler ist.
Zum Zugriff auf die Daten muss das Forensik-Tool nämlich ordnungsgemäß unter Eingabe von Apple-ID und Passwort angemeldet und bei aktiver Zwei-Faktor-Authentifizierung durch einen zusätzlichen Code autorisiert werden. Zudem setzt die Freigabe der Schlüsselbunddaten die Kenntnis eines Geräte-Codes respektive der Code-Sperre der Zielperson voraus. Nutzer müssen jedes neue Gerät, das den iCloud-Schlüsselbund abgleichen will, nämlich erst von einem bereits bestätigten iPhone, iPad oder Mac aus autorisieren. Diese Vorkehrung soll den Zugriff auf die extrem sensiblen Daten durch Dritte sonst praktisch unmöglich machen.
Kein Hack und keine Schwachstelle im iCloud-Schlüsselbund
Das Auslesen des iCloud-Schlüsselbunds mit Phone Breaker funktioniert nur, wenn der Nutzer einen iCloud-Sicherheits-Code dafür hinterlegt hat (dann werden die Schlüsselbunddaten auf Apples Servern gesichert) oder die Zwei-Faktor-Authentifizierung nutzt (dann landen die Daten ebenfalls auf Apples Servern).
Bei dem Zugriff auf den iCloud-Schlüsselbund durch das Forensik-Tool handelt es sich “weder um einen Hack noch um eine Schwachstelle”, betont Elcomsoft – die Software übernehme nur die Rolle, die sonst ein neu zum iCloud-Schlüsselbund hinzugefügtes iOS-Gerät spielt.
Bei all diesen Voraussetzungen könne man natürlich auch einfach ein weiteres iPhone, iPad oder einen Mac frisch aufsetzen und für iCloud-Keychain registrieren, so Elcomsoft. Dann nehme das Übertragen der Daten aber deutlich mehr Zeit in Anspruch und lasse sich nicht forensisch korrekt durchführen, da der Schlüsselbund der Zielperson durch das zusätzliche Gerät modifiziert wird.
Lob für Apples Sicherheitskonzept
Das Sicherheitssystem der iCloud-Keychain sei “gut designt” und “sehr gut implementiert”, man könne diese nicht umgehen oder sich den Zugang durch einen Brute-Force-Angriff erzwingen.
Dennoch bleibe der komfortable Apple-Dienst ein “zweischneidiges Schwert”, merkt der russische Software-Hersteller an: Liegen die Zugangsdaten erst in der Cloud, bestehe immer die Möglichkeit, dass irgendjemand sich irgendwie doch Zutritt verschafft, sei es “NSA, FBI oder Apple selbst”.
Im März erst hatte Apple eine Schwachstelle bei iCloud-Keychain geschlossen, die es einem versierten Angreifer ermöglichte, auf verschiedenen, teils komplexen Wegen auf die dort gespeicherten Daten zuzugreifen, wie ein Sicherheitsforscher jüngst ausführte.
(lbe)