GrayKey, ein Gerät, das Berichten zufolge bei immer mehr Polizeibehörden in den USA (und vermutlich anderswo) Verbreitung findet, kann Apples standardmäßig sechsstelligen PIN-Code von iPhone, iPad oder iPod touch in durchschnittlich elf Stunden knacken. Das berichtet der Sicherheitsforscher Matthew Green von der Johns Hopkins University.
Schlimmstenfalls dauere es etwas mehr als 22 Stunden. Vierstellige Codes seien spätestens in 13 Minuten geknackt, bei 8 oder 10 Stellen gehen die Bruteforce-Zeiten hingegen schnell hoch (durchschnittlich 46 beziehungsweise gar 4629 Tage). Green hat dies anhand der vorliegenden Informationen zu dem GrayKey-Gerät, das von der US-Firma Greyshift produziert wird, errechnet.
Apple hat offenbar noch keine Lösung
Die Hardware, die an Polizeibehörden zu Sonderkonditionen abgegeben wird – der Listenpreis beginnt bei 15.000 US-Dollar für eine begrenzte Nutzung, unlimitiert zahlt man angeblich 30.000 Dollar –, scheint Fehler in aktuellen iOS-Versionen bis mindestens iOS 11.2.5 auszunutzen. Ob iOS 11.3 ebenfalls betroffen ist, blieb bislang unklar – die Wahrscheinlichkeit ist allerdings groß. Greyshift dürfte die ausgenutzten Lücken Apple kaum mitteilen, weil sich die Firma, in der angeblich auch Ex-Mitarbeiter von Apple arbeiten, sonst ihr Geschäftsmodell kaputtmachen würde.
Laut dem Sicherheitsunternehmen Malwarebytes gelingt es GrayKey, Code auf das iOS-Gerät hochzuladen, der dann dafür sorgt, dass Apples Anti-Bruteforce-Maßnahmen ausgehebelt werden, die es sonst extrem schwer machen, den Sicherheitscode mit roher Gewalt zu knacken. Es ist daher denkbar, dass GrayKey zumindest teilweise ein Jailbreak gelingt, weil auf dem Gerät sogar Hinweise zum Bruteforce-Fortschritt angezeigt werden. Nach einem erfolgreichen Knacken können Behörden offenbar die meisten (oder gar alle) Daten des Geräts beziehen.
Längerer PIN-Code – oder Passwort
Sicherheitsforscher wie Green empfehlen nun, dass sich Nutzer mit einem längeren PIN-Code – oder noch besser einem alphanumerischen Passwort – schützen. Sechs Stellen seien nicht genug, schreibt auch das IT-Blog Motherboard, das seit mehreren Wochen über Hintergründe von GrayKey berichtet.
Harlo Holmes, Sicherheitstrainer der Freedom of the Press Foundation, sagte gegenüber der Seite, PIN-Codes oder Passwörter zwischen 9 und 12 Zeichen seien sinnvoll, am besten als Kombination aus Zeichen und Buchstaben. Ryan Duff von Point3 Security spricht sich für mindestens 7 Zeichen aus, Sonderzeichen und Symbole hält er für sinnvoll. Die Nutzungserfahrung eines iOS-Geräts muss dies nicht einschränken, da die Geräte sich stets auch per Biometrie – also Gesichtserkennung (Face ID) oder Fingerabdruck (Touch ID) – entsperren lassen. Den PIN-Code kann man in den Systemeinstellungen unter Sicherheit verändern.
tipps+tricks zum Thema:
(bsc)