News Apple: FBI fordert Hacker-Software für iPhones

[strex]

hmmm also aufwendiger aber machbar ist es auf jeden fall den emc chips auszulöten und davon kopien zu erstellen. dann haben die bestimmt etliche versuche denk ich mir.

Das bringt gar nichts, da dieser AES256 verschlüsselt ist und nicht mit dem Passcode. Das wäre die aufwendigste und längste Methode.

Eher NSA oder? Die haben ja bekanntlich schon mit Apple zusammengearbeitet ;-).

Die sind doch nicht dumm. Bei so einem öffentlich Fall dann die Lösung zu präsentieren. Dann wäre klar das sie es können und man würde auf Alternativen umsteigen.

Die sache ist simpel: Du brauchst ein iTunes Backup des Gerätes (nicht iCloud!) und lässt den Pinfinder drüber laufen. Das ist alles.

Erstens darf das Backup nicht verschlüsselt sein. Zweitens ist das nicht der Lockscreen Passcode. Drittens, wer sagt denn das es nur ein Pin mit vier Stellen sind, falls das Tool auch Lockscreen Passcodes auslesen könnte was es nicht kann. Da er so schlau gewesen ist, dass Backup zu deaktivieren hat er sicher auch ein längeres alphanumerisches Passwort verwendet. Dann schaut die Methode dumm aus der Wäsche.

jeder weiß doch das man die apple software in gewissen rahmen (umgehen kann). stichwort: jailbreak.

Damit hat man aber keinerlei Zugriff auf die Security Enclave und die darin enthaltenen Hashes. Ein Jailbreak bringt hier überhaupt nichts.

"The device’s unique ID (UID) and a device group ID (GID) are AES 256-bit keys fused
(UID) or compiled (GID) into the application processor and Secure Enclave during
manufacturing. No software or firmware can read them directly; they can see only the
results of encryption or decryption operations performed by dedicated AES engines
implemented in silicon using the UID or GID as a key. Additionally, the Secure Enclave’s
UID and GID can only be used by the AES engine dedicated to the Secure Enclave. The
UIDs are unique to each device and are not recorded by Apple or any of its suppliers.
The GIDs are common to all processors in a class of devices (for example, all devices
using the Apple A8 processor), and are used for non security-critical tasks such as when
delivering system software during installation and restore. Integrating these keys into
the silicon helps prevent them from being tampered with or bypassed, or accessed
outside the AES engine."

--

Was man möchte ist, dass Apple iOS im laufenden Betrieb so anpasst, dass die automatische Löschung und Verzögerung deaktiviert wird und eine Schnittstelle geschaffen wird. Ein neuer Flash bringt hier nichts sonst sind die Daten weg. Entweder direkt über eine Debugschnittstelle auf die iOS Dateien oder über ein erzwungenes OTA. Wenn man schlau war hat man die automatische Löschung und Verzögerung in Hardware eingebaut. Wenn das nicht der Fall war, kommt das wohl in der nächsten Generation. Denn dann kann sich Apple beruhigt zurücklehnen und sagen geht nicht.

 

[Christi]

75 millionen verkaufte geräte im quartal. von allen iphones weltweit rede ich mal nicht.

und die geheimdienste hocken vor dem iphone und gucken wie das schwein ins uhrwerk

wer das glaubt, glaubt auch an den weihnachtsmann.

 

[blackiwid]

75 millionen verkaufte geräte im quartal. von allen iphones weltweit rede ich mal nicht.

und die geheimdienste hocken vor dem iphone und gucken wie das schwein ins uhrwerk

wer das glaubt, glaubt auch an den weihnachtsmann.

ja ich geh auch davon aus das das eine Kampangne ist um Apple als Sicher zu vermarkten, nachdem dank snowden jegliche IT Systeme aus den USA als total abgehoert und unsicher by design aufgedeckt wurden (mehr oder weniger).

Da werde ich sicher als Aluhut oder Verschwoerungstheoretiker beschimpft, klar es ist auch eine theory einer Verschwoerung, die aber ja auch an sich nachgewiesen wurde ne Verschwoerung geheimer Kraefte (Geheimdienste, Geheimgerichte, Geheimgesetze...) und jeder der vor Snowden aehnliches Behauptet hatte wurde ja auch als Spinner tituliert, daher kann ich damit gut leben.

 

[Magellan]

Das ist doch jetzt wohl ein schlechter Scherz? Die wollen sich also erst gar nicht mit der eigentlichen Verschlüsselung beschäftigen weil man statt dessen ja viel einfacher vom Hersteller eine Umgehung (nichts anderes sind die Forderungen effektiv) der PIN einfordern kann?

Kann mir irgendwie nicht vorstellen dass die Amis diesbezüglich derart dilletantisch sind.
Hauptsache für den Otto hört es sich so an als sei die Verschlüsselung nicht knackbar?

 

[strex]

und die geheimdienste hocken vor dem iphone und gucken wie das schwein ins uhrwerk

Damit wären sie aber absolut dumm, dass wird kein Geheimdienst bei einem so öffentlichen Fall machen. Denn dann wäre das klar und die Leute darauf angewiesen sind schwenken auf andere Applikationen. Hier heißt es für den Geheimdienst die Füße still zuhalten.

 

[fraxx2001]

Die drei amerikanischen Großkonzerne Apple, Google und Microsoft werden alle keine Sek zögern, Daten rauszugeben. Beim Thema Datenschutz und Privatsphäre geben die drei sich nix. Das fällt also als Kaufargument raus und ist daher eher unwichtig. Man muss halt nur ab und zu die PR Keule schwingen, wie hier in der News.

 

[Narsail]

Hier stand Mist.

 

[Conker]

Ähm du hast es vielleicht nicht ganz verstanden, aber genau das ist das Problem. Es soll nicht jeder unter Generalverdacht gestellt werden. Die "Sicherheitsbehörden" werden diese Software wo es nur geht einsetzen um so alle zu durchleuchten tolle Aktion....


Das war, ohne Witz, der schlechteste Autovergleich den ich jemals gehört habe.

Verstrahlte Kindsgeneration, wundert mich nicht mehr wenn Artikel über Autos auf Computerhomepages erscheinen.

Lies mal bitte den Beitrag vom Vorredner, dann wird alles verständlicher.....

Apple müsste die Fähigkeit haben die Handysperre zu umgehen. Aber egal, gute Nacht.

75 millionen verkaufte geräte im quartal. von allen iphones weltweit rede ich mal nicht.

und die geheimdienste hocken vor dem iphone und gucken wie das schwein ins uhrwerk

wer das glaubt, glaubt auch an den weihnachtsmann.

Genau das denke ich mir auch. Ich halte es für unmöglich das amerikanische Sicherheitsbehörden ein Iphone nicht knacken können. Wir reden hier von einem Land das im Militär über umfangreiche Technologien verfügt. Und jetzt sollen genau diese Leute vor Apple stehen und um Hilfe bitten, dass sie ein Iphone nicht knacken können.

 

[Mithos]

Die drei amerikanischen Großkonzerne Apple, Google und Microsoft werden alle keine Sek zögern, Daten rauszugeben.

Hast du für diese Aussage (nicht Meinung, sondern Aussage) auch einen Beweis?
Hier gibt es halt Leute, die glauben daran und Leute, die glauben an das Gegenteil. Aber es bleibt Glauben. Da kann man weder das Eine, noch das Andere belegen. Wenn du also eine Aussage tätigst, die etwas als Fakt hinstellt, dann belege diese bitte.

Und keine Schlussfolgerungen, Annahmen,... ; sondern Beweise.

 

[lixxbox]

Ich mal muss jetzt fragen weil ich diesen pinfinder nicht kenne. Geht es um dieses Tool? https://github.com/gwatts/pinfinder/

In der Readme steht jedenfalls eindeutig dass es sich nicht um die Telefonpin handelt, sondern um die PIN der Einschränkungen. Das können bzw. SOLLTEN Unterschiedliche sein! wenn jemand so doof ist und dieselbe Pin fürs Telefon verwendet.. nunja. Und wenn die Einschränkungen nicht aktiviert sind findet man wahrscheinlich garnix, oder?

Edit: Wenn das Backup verschlüsselt ist findets auch nix.

 

[yast]

Verstrahlte Kindsgeneration,

soll das irgendeine Art Beleidigung darstellen?

wundert mich nicht mehr wenn Artikel über Autos auf Computerhomepages erscheinen.

Ähm du hast den absolut absurden Autovergleich aufgestellt...

Lies mal bitte den Beitrag vom Vorredner, dann wird alles verständlicher.....

Da findet sich keine Antwort/ kein Argument gegen mein Kommentar

Apple müsste die Fähigkeit haben die Handysperre zu umgehen.

Ja und? Was wenn nicht? Warum sie es nicht tun hat Herr Cook glaube ich ausreichend dargelegt.

Aber egal, gute Nacht.

wohl besser so ...

 

[cor1]

Es wäre dumm wenn man eine Verschlüsselung entwickelt, die nicht geknackt werden kann. Das wäre wie wenn man einen Motor entwickelt, den man selber nicht benutzen kann.

Hä? Das kannst du unmöglich ernst meinen

Verstrahlte Kindsgeneration, wundert mich nicht mehr wenn Artikel über Autos auf Computerhomepages erscheinen.

Ok. Jetzt aber mal raus mit der Sprache. Woher hast Du das Zeug und wieso nimmst du soviel davon?

 

[strex]

@lixxbox

Jopp, nicht lockscreen passcode wie hier benötigt wird. Zudem muss das locale iTunes Backup ohne Verschlüsselung erstellt worden sein. Aber das spielt ja bei wahlmeister keine Rolle.

 

[DeusoftheWired]

Nicht wirklich. Ein ordentlich langes / komplexes PW und dann ist es egal, ob die Sperre mit 10 Versuchen & Wartepausen entfällt oder nicht.

Bei E-Mail-Verschlüsselung mit PGP rettet einen im Moment noch die große Zeit, die man selbst mit Brute-Force benötigen würde, um sämtliche möglichen Kombinationen zu probieren. Bei der Verschlüsselung eines WLANs mit WPA2 hängt es dagegen schon an der Länge des Passworts. Beides funktioniert aber auf unterschiedliche Weise und ist nicht mit dem Verschlüsselungsmechanismus des iPhone zu vergleichen. Der arbeitet noch mal anders. Bei Apple war man sich der Anfäligkeit gegenüber Brute-Force bewußt und hat deswegen den Nutzern die Möglichkeit gegeben, die maximale Zahl an aufeinanderfolgenden Falscheingaben auf zehn zu begrenzen.

Ganz einfach, wenn die Software nur den Sicherheitsbehörden zur Verfügung steht.

Was denkst du, nach wievielen Monaten diese Software durch eine menschliche Schwachstelle bei einer Behörde ihren Weg nach draußen finden oder sie einer der bösen Buben stibitzen würde? Solche Hintertüren sind von Grund auf keine gute Idee, weil sie immer gegen den Ersteller verwendet werden können und man keine Möglichkeit hat, sicherzustellen, daß ausschließlich bestimmte Personen Zugriff auf sie haben. Konnte man wunderbar neulich bei Juniper beobachten.

 

[lixxbox]

Gut dass wir drüber gesprochen haben :-)

 

[strex]

@DeusoftheWired

Bei Juniper kann man aber davon ausgehen das einer/mehrere eingeschleust oder bezahlt worden sind. Denn sollte das rauskommen das dies absichtlich eingebaut wurde, kann ein Spezialist in diesem Bereich Konkurs anmelden.

 

[Simpl3Moe]

Blöde Frage:

Kann Apple nicht einfach das PW von dem Konto zurück setzen und das iPhone über die Cloud neu konfigurieren?
bzw zumindest die Funktion abschalten, die das Gerät löscht. Dann kann das FBI fröhlich bis in alle Ewigkeit Bruteforcen

 

[tobi14]

Stellt doch wohl kein Problem dar die Speicherchips vom gerät direkt aus zu lesen. Danach kann man die Daten extern von irgend einem "Supercomputer" knacken lassen. Glaubt doch wohl keiner das das FBI in solch einem Fall sich von der pin Sperre mit löschfunktion abschrecken lässt. Schöne werbenews damit die Terroristen auf iphones umsteigen, stärkt ha auch dann ihre Wirtschaft

 

[DeusoftheWired]

@DeusoftheWired

Bei Juniper kann man aber davon ausgehen das einer/mehrere eingeschleust oder bezahlt worden sind. Denn sollte das rauskommen das dies absichtlich eingebaut wurde, kann ein Spezialist in diesem Bereich Konkurs anmelden.

Das ist ähnlich wie beim Verdacht der Hintertür in IPsec von OpenBSD.
Es gibt übrigens nicht wenige Firmen, deren Netzwerkverantwortliche Technik von Huawei meiden.

 

[Hancock]

Also ich bin kein iOS Experte, daher wie ich es bei Android machen würde:

Bei Android gibt es ja automatische App-Store Updates (solang man sie nicht deaktiviert), bei iOS vielleicht auch.
Diese Updates sind mittels (Krypto-)Zertifikaten abgesichert, jetzt könnte man ein Update erstellen, welches
a) nur bei diesem Gerät funktioniert (IMEI oder so)
b) alle Daten ausließt, die man will.
Diese App wird nun von Apple signiert und nur diesem iPhone vorgesetzt (quasi als ein MITM-Angriff).

Voila:
Apple hat volle Kontrolle über die Software.
Die Behörden können die Software nur auf diesem einen Gerät einsetzen, auf allen anderen funktioniert sie nicht und abändern können sie die auch nicht (signiert).
Für jeden Durchsuchungsbeschluss muss die Software angepasst werden und das normale Softwareprozedere von Apple durchlaufen.

Das Missbrauchspotential durch die Behörde wird minimal gehalten, sollte jemand das Schlüsselelement (das Signieren der App) umgehen können, ist das ein Problem anderer Größenordnung, welches schon heute besteht.

PS: Falls es unverständlich ist: Windows 10 mit kritischem Update, das Microsoft selbst "unterjubelt", warten und morgen um 3:30 wird es auf dem PC installiert. Tadaaa, Code wird mit Systemprivilegien ausgeführt.

Ich denke, mit einem eng genug gefassten richterlichen Beschluss ist das ein legitimer Ansatz. Allerdings liegt damit ein Teil der Privatsphäre bei der Gewissenhaftigkeit, mit der bei den IT-Unternehmen gearbeitet wird. Wenn ich aber an die Ansätze der NSA denke, ist das keine Steigerung des Risikos für Missbrauch, weil sonst wird der Staat irgendwann genügend V-Leute in den IT-Firmen haben, sodass entsprechende Codefragmente "leider" "übersehen" werden bei der Sicherheitsprüfung eines App-Updates.