Sicherheit: iPhone Code Sperre leicht auszuhebeln

[chironex]

Per modifiziertem Jailbreak laesst sich die Sperre relativ leicht und kostenlos umgehen.

Hier weiterlesen bzw. Video anschauen:
heise.de - Security

 

[eyePH0NE]

Ach du meine Güte...langsam kommt heise wirklich auf das Niveau von Computer-Bild, Galileo, Planetopia etc. pp. herunter.
Mehr muss man dazu nicht sagen.

Aber wenigstens ist der Thread im Café gut platziert...

 

[smoe]

Warum so aggressiv? Im Prinzip stimmt es doch. Gerät in DFU Modus versetzen, Jailbreaken, dabei direkt das SSH Paket installieren, und schon kommst du an die meisten Daten auf dem Gerät ran. Oder hab ich das falsch verstanden?

 

[marcel2605]

Jawoll... Schön noch die Anleitung gegeben, damit Hacker an deine Daten rankommen... Noch besser gehts nich... Hätte der Artikel nicht schon gereicht?!

 

[smoe]

Das war eigentlich eher eine Frage als eine Anleitung...

 

[Thems]

Nun ja, das Problem damit ist halt, dass es wieder als großes iOS-only Problem dargestellt wird. Sobald man allerdings in dem physikalischen Besitz jedweden Smartphones ist, kann man das theoretisch so machen. Ist ja nichts neues so eine Bruteforce Attacke.

Aber Heise hat wie alle IT-Magazine entdeckt, dass man mit großen - oft leider auch falschen - "Apple ist schlecht"-headlines die großen Massen begeistern kann.

 

[marcel2605]

@smoe: Wie meinst du das? Das Video zeigt doch eindeutig wie das ganze funktioniert... Für mich ist das eine Anleitung

 

[Doc Brown]

@smoe
Wenn ich dein Gerät - egal welches - erstmal in den Fingern habe, kann ich damit auch anstellen, was ich will.
Sturm im Wasserglas, mehr nicht.

Ralf

 

[smoe]

@smoe: Wie meinst du das? Das Video zeigt doch eindeutig wie das ganze funktioniert... Für mich ist das eine Anleitung

Sorry, hatte das ganze auf meinen Post bezogen...

@smoe
Wenn ich dein Gerät - egal welches - erstmal in den Fingern habe, kann ich damit auch anstellen, was ich will.
Sturm im Wasserglas, mehr nicht.

Und das findest du gut so? Bzw du findest es nicht okay wenn die Leute auf sowas hingewiesen werden?

Wobei ich gar nicht mal sagen würde, dass es bei jedem Gerät ähnlich einfach ist. Die Jailbreak-Community hat hier schon für die Verbreitung von Mitteln und Methoden, in einem Ausmaß wie man es nicht auf allen Plattformen findet, gesorgt.

 

[Thems]

Wobei ich gar nicht mal sagen würde, dass es bei jedem Gerät ähnlich einfach ist. Die Jailbreak-Community hat hier schon für die Verbreitung von Mitteln und Methoden, in einem Ausmaß wie man es nicht auf allen Plattformen findet, gesorgt.

Und woher kommt das? Nun ja weil Google zum Beispiel ein offenes System hat. Ist darum Android in Sachen Sicherheit besser? Ganz im Gegenteil. Während es für Android schon zig Malware gibt, blieb iOS bislang ziemlich verschont, und das trotz seines Marktanteiles (der eigentlich in Sachen Sicherheit keine Rolle spielt). Die Frage, ob andere Systeme leichter oder schwerer knackbar sind, ist letztendlich überflüssig, weil man vermutlich jedes Gerät via Brute Force knacken kann. Macht es da einen Unterschied, ob ein potenzieller Datendieb 10 Minuten braucht oder 10 Stunden?

Ich finde es ja nicht schlecht, dass auf so etwas hingewiesen wird, jedoch ist letztendlich jeder selbst verantwortlich, inwieweit er sein iPhone sichert. Zum Beispiel muss ein Hacker bei den Zahlenfeldern maximal 10^4 10000 Zahlenkombinationen zu testen, wohingegen ein String-Passwort mit 4 Buchstaben mindestens 100^4 100.000.000 Kombinationen ermöglicht (mit Sonderzeichen, Groß/Klein, Umlaute etc.). Da müsste man mit Brute Force schon ziemlich lange dran sitzen.

Interessant wäre es ja, ob das Löschen bei 10 falschen Versuchen bei so einem Angriff auch irgendwie anspringt. Habe ich jedenfalls immer an.

Grundsätzlich sollte man sich einfach mal einen Workflow für die Datensicherheit angewöhnen.

 

[smoe]

Android ist da vermutlich nicht viel besser, das stimmt, aber wie sieht es denn zb mit Blackberry und Co aus?

Aber den Zusammenhang zwischen malware (die der AppStore tatsächlich ganz gut draußen hält) und der Sicherheit des Passwortschutzes des Geräts, sehe ich so jetzt nicht... Das sind zwei verschiedene Baustellen.

Btw macht es ja auch schon einen sehr großen Unterschied ob ich den brutforce nun bequem per eingeschleuster Software auf dem Gerät ausführen kann, oder ob ich da wirklich von Hand alle Kombinationen eintippen muss... Letzteres ist nunmal so sicher wie es überhaupt mit Code geht, ersteres eben ohne großen Aufwand zu knacken.