News & Rumors: 18. Dezember 2014,

Elcomsofts Phone Breaker umgeht Two-Factor-Authentication von iCloud

iCloud.com
iCloud.com - Beta mit Einstellungen und iCloud Drive

Die Software Phone Breaker von Elcomsoft auf Russland ist kein Unbekannter in Bezug auf iCloud. Nun erlaubt ein Update die Umgehung der Zwei-Schritt-Authentifizierung.

Genauer muss man sagen, dass die Software nicht in jedem Fall die Umgehung der Zwei-Schritt-Authentifizierung erlaubt. Hat ein iCloud-Nutzer das Feature eingeschaltet, muss ein möglicher „Einbrecher“ neben dem Login und Passwort eben auch die Antwort auf eine der hinterlegten Sicherheitsfragen wissen. Das ist so schwer aber nicht, wenn man sich vorstellt, wie viele Informationen von Nutzern tatsächlich online verfügbar sind. Gerade Personen des öffentlichen Lebens geben mittelfristig Informationen Preis, ohne es zu beabsichtigen. Im vergangenen Jahr wurde beispielsweise das erste Auto von Daniela Katzenberger auf eBay versteigert. Eine Sicherheitsfrage nach eben dem ersten Auto einer Person ist so selten nicht anzutreffen. Das gleiche gilt für Geburtsnamen, Haustiere, etc. pp.

Umgehen der Sicherheitsmechanismen

Sind diese Informationen bekannt, kann der Phone Breaker sie nutzen, um den iCloud-Authentifizierungsprozess hinter sich zu bringen und dann ist der Nutzer der Software in der Lage, Daten herunterzuladen. Dieses Szenario taugt nicht dafür als „Umgehung“ von Sicherheitsmechanismen betrachtet zu werden, immerhin könnte man sich mit den Daten so auch direkt auf iCloud einloggen.

Daneben bot Phone Breaker von der Moskauer IT-Schmieder Elcomsoft immer schon die Option ein Autorisierungs-Token zu nutzen. Diese Session-relevanten Daten werden auf der Festplatte gespeichert, immer dann, wenn Nutzer sich auf ihrem Computer mit dem Service verbinden. Dabei muss das Token nicht entschlüsselt werden, sondern kann 1:1 genutzt werden, um eine Session zum Service herzustellen. An solche Daten kommen Hacker eventuell über Malware auf dem Computer, aber Strafverfolgungsbehörden in jedem Fall, sollten sie Computer von Personen konfiszieren. Das ist nun aber nicht mehr zwingend notwendig. Das am Mittwoch veröffentlichte Update ermöglicht ebenfalls das Auslesen solcher Tokens aus speziellen Disk-Images und von angeschlossenen Festplatten.

Update von Phone Breaker

Das jüngste Update der Software Phone Breaker sieht neben der Verwendung der Zwei-Schritt-Authentifizierung einen optimierten Downloadprozess vor. Nutzer sind nun in der Lage, sich die entsprechenden Daten speziell auszusuchen, anstatt den kompletten Inhalt der iCloud einer Person herunterladen zu müssen. Außerdem wurde das Portfolio an herunterladbaren Informationen erweitert. So kann sie nun z. B. auch WhatsApp-Gespräche oder iWork-Dateien (Pages, Numbers, Keynote) herunterladen.

Phone Breaker wird gegen Geld verkauft und ist zuletzt negativ aufgefallen, als Nacktbilder von Stars und Sternchen im Internet veröffentlicht wurden. Hacker hatten für den Zugriff auf die Daten eben Elcomsofts Tool verwendet. Zu den Kunden von Elcomsoft gehören viele Institutionen wie das Militär und Nachrichtendienste. Doch der Anbieter verkauft die Software grundsätzlich auch an Privatleute.

Artikel bewerten

Ähnliche Beiträge

iPhone 7: Nachfrage hoch, für Verkaufsrekord wird ... Es ist beinahe egal, wen man fragt: Das iPhone 7 genießt eine hohe Nachfrage. Dazu reicht bereits ein Blick in die Lieferzeiten im Apple Store, aber m...
Apple arbeitet an Prototyp für Siri-Lautsprecher Berichten zufolge testet Apple derzeit einen ersten Lautsprecher-Prototypen, der mit Sensoren zur Gesichtserkennung ausgestattet ist. Genau wie bei Am...
Gerücht: Apple an Motorradhersteller Lit interessi... Nach den Gerüchten über eine mögliche Übernahme oder Partnerschaft mit McLaren gibt es nun neue Berichte, nach denen Apple am Motorradhersteller Lit M...
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.






Zuletzt kommentiert



 0 Kommentar(e) bisher


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>