MACNOTES

Veröffentlicht am  27.05.10, 16:21 Uhr von  nd

iPhone-Schwachstelle: Zugriff ohne PIN unter Ubuntu möglich

iphonelogoSicherheitsspezialist Bernd Marienfeldt hat eine Schwachstelle der iPhone-Verschlüsselung aufgedeckt. Eigentlich sollte das iPhone 3GS hardwareseitig mit 256-bit AES verschlüsselt sein. Doch Marienfeldt entdeckte zufällig, dass der Automounter unter Ubuntu den Zugriff auf das iPhone-Dateisystem ermöglicht – ohne irgendwelche Hacks.

Die entdeckte Schwachstelle ist folgende: Normalerweise dürfte ein Computer, der zuvor nicht mit dem iPhone verbunden wurde, keinerlei Zugriff auf das iPhone haben. Im Fall von Marienfeldt war das aber anders. Er schloss ein abgeschaltetes iPhone 3GS erstmalig an seinen Rechner. Er startete das iPhone, es war aber weiterhin gesperrt, es erfolgte nicht die übliche PIN-Eingabe.

Der Automounter von Ubuntu erkannte das Gerät trotzdem und gewährte sofort einen Einblick auf diverse Ordner. Bilder und Audiodateien waren unter dem Linux-System frei zugänglich, von einer Verschlüsselung war nichts zu bemerken.

[singlepic id=7931 w=435]

Das bedeutet im Klartext: Wenn das iPhone verloren geht oder gestohlen wird, kann jeder mit einem Ubuntu-Rechner auf den persönlichen Inhalt zugreifen. Die Daten sind damit quasi frei verfügbar – ein ernsthaftes Problem.

Bernd Marienfeldt informierte das Security-Team bei Apple, welches allerdings zuerst den Fehler nicht nachvollziehen konnte. Ein nicht reproduzierbarer Fehler, war die Antwort auf Marienfeldts Hinweis. Heute gab es dann eine neue Information von Apple:

“Apple could reproduce the described serious issue and believes to understand why this can happen but cannot provide timing or further details on the release of a fix.”

Sony

Sinngemäß: Apple verstehe jetzt das Problem, könne aber weder eine zeitliche noch inhaltliche Angabe zur Schwachstelle machen, beziehungsweise zur Fehlerbehebung. Den gesamten Vorgang hat Bernd Marienfeldt in seinem Blog dokumentiert.

[via Heise]

 Und wie ist deine Meinung?  Schreib uns einfach!

 3 Kommentar(e) bisher

  •  @PimpYourMac sagte am 27. Mai 2010:

    @bernd5459 Wir haben über die entdeckte Schwachstelle auch bei Macnotes berichtet: http://macnot.es/39868 Hältst du uns auf dem laufenden?

    Antworten 
  •  rj sagte am 27. Mai 2010:

    Holla. Mit Ubuntu hatte ich bislang immer reinen Lesezugriff auf DCIM.

    Wers auch ausprobieren mag:

    “The unprotected iPhone 3GS mounting is “limited” to the DCIM folder under Ubuntu < 10.04 LTS, Apple Macintosh, Windows 2000 SP2 and Windows 7. ”

    …ein Grund, mal endlich das Ubuntu auf dem Ideenbrett aufzufrischen… Lese- und Schreibrechte per Default über Ubuntu Filemanager, ha!, genau sowas will ich doch haben. (nur nach Möglichkeit abschaltbar…)

    Antworten 
  •  fellowweb sagte am 27. Mai 2010:

    Ist das wirklich ein so kritisches Loch?

    Ich bin mir nicht sicher, ob wirklich auf das ganze Dateisystem oder nur auf vereinzelte Ordner Zugriff möglich ist. Wenn zum Beispiel nur Zugriff auf den DCIM-Ordner möglich ist, kann das das Sicherheitsproblem für einige deutlich relativieren.

    Antworten 

Kommentar verfassen

Werbung
© 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de