iPhone 5c: FBI bezahlte Hacker für Umgehung des PIN-Schutzes
Im Streit um die Entschlüsselung des iPhone 5c des San-Bernardino-Attentäters kommen nun weitere Details ans Licht. So soll das FBI einmalig Dritte bezahlt haben, um diese gezielt nach einer Sicherheitslücke im System des Smartphones suchen zu lassen. Diese Lücke soll auf das iPhone 5c mit iOS 9 beschränkt sein.
Wie die Washington Post unter Berufung auf mit der Angelegenheit vertrauten Personen berichtet, war das Problem der US-Ermittlungsbehörde nicht, die vierstelligen PIN des iPhones zu knacken, sondern den optionalen Schutz gegen falsche Eingaben zu umgehen. Dieser greift ein, wenn die PIN-Eingabe zehnmal falsch erfolgt ist und löscht dann sämtliche Daten des Smartphones. Während der Eingabe der PIN ist nicht erkennbar, ob der Schutzt aktiv ist, weshalb das FBI davon ausgehen musste, dass dies der Fall ist.
Um genau dieses Feature zu umgehen, hat das FBI gezielt nach einer Sicherheitslücke suchen lassen und damit ein externes Team beauftragt. Das Team bestand aus Hackern und Sicherheitsforschern, es soll sich aber nicht um die israelische Sicherheitsfirma Cellebrite handeln, die bisher als beauftragtes Unternehmen vermutet wurde. Die gefundene Sicherheitslücke beschränkt sich allerdings auf das iPhone 5c mit iOS 9, was die Nutzbarkeit sogar noch weiter einschränkt, als bisher angenommen.
Wird die Sicherheitslücke gemeldet?
Während Unternehmen und die US-Ermittlungsbehörde weiterhin um den All Writs Act streiten, entsteht nun noch einer neuer Streitpunk. Die Frage ist, ob das FBI die Sicherheitslücke dem Unternehmen Apple melden soll oder muss. Diese Frage wird zur Zeit abgewogen, wobei verschiedene Aspekte berücksichtigt werden müssen.
Auf der einen Seite handelt es sich um eine gefährliche Sicherheitsheitslücke, die Dritten den uneingeschränkten Zugriff auf die Daten erlaubt. Auf der anderen Seite will die US-Behörde die Zugriffsmöglichkeit nicht verlieren, da diese noch in weiteren Fällen nützlich sein könnte. So wurde bereits im Vorfeld berichtet, dass das FBI die Weitergabe der Zugriffsmöglichkeit an andere Behörden in Erwägung zieht.
Überwiegt das Interesse der Ermittlungsbehörden, so könnte das FBI von einer Meldung der Sicherheitslücke absehen. Eine weitere Alternative wäre, dass die Sicherheitslücke erst in einigen Wochen gemeldet wird, wenn die Behörde diese auf weitere Geräte angewandt hat.