ComputerBase Menü
Aktuelles

News Verschlüsselung: US-Ermittler knacken das iPhone 11 mit Forensik

2 Monate, weil es ein erster Versuch war?
Wie lang dauert es ab jetzt, sollte nun doch deutlich schneller gehen? (bis sicherheitslücken geschlossen werden?)
 
Und was bringt mir Keepass für den PC in Bezug auf mein IPhone, was ich regelmäßig unterwegs entsperre? Vor allem in Bezug aufs Entsperrpasswort (also bitte nicht mit dem Argument kommen, ne App gibt es...)
 
Der Tipp ist aufs allgemeine PW-Merken bezogen (siehe Zitat), also am PC/Android. Ein iPhone würde ich eh nicht nutzen, davon ab. Daher kann ich dir/euch aktuell da leider auch keine Möglichkeit für den Unlock nennen, das ist ja quasi ein Master-PW. Also ohne "Fummellei" musst du es dir merken, ja. Ähnlich wie für BIOS Boot etc.
 
SV3N schrieb:
Wie das Justizministerium der Vereinigten Staaten bekanntgegeben hat, ist es den Ermittlern des FBI gelungen, die Verschlüsselung von aktuellen Apple-Geräten wie dem iPhone 11 (Test) mit Hilfe von forensischer Software auch ohne die Unterstützung von Apple zu umgehen.
Zum Vergrößern anklicken....
Habe ich was verpasst?
Der Satz suggeriert, dass Apple die Unterstuetzung verweigert oder unterlassen haette.
Das ist falsch und hated Richtung Apple.
Apple hatte sehr wohl unterstuetzt, soweit es moeglich war.

Ich besitze kein Apple-Produkt, aber diese Anspielung ist ohne Not fuer mich schon wieder Bildniveau, kann man unterlassen, oder?
 
Ich hätte jetzt erwartet dass der Sicherheitschip im IPhone diese PIN/Passwortabfragen verwaltet und somit auch per Hardware Bruteforce durch entsprechende (steigende) Antwortzeiten vereitelt. Ähnlich eines TPM halt.
 
DaZpoon schrieb:
Ich hätte jetzt erwartet dass der Sicherheitschip im IPhone diese PIN/Passwortabfragen verwaltet und somit auch per Hardware Bruteforce durch entsprechende (steigende) Antwortzeiten vereitelt. Ähnlich eines TPM halt.
Zum Vergrößern anklicken....

Ja, genau so ist es auch. Ähnlich wie auch schon beim TPM wurden die Sicherheitsmaßnahmen per Exploit umgangen, sodass klassisches Brute Force möglich war.

Wenn man dann kein starkes Passwort hat, werden die Daten eben zugänglich.

Eig. nicht so spannend und unerwartet, solche News gab es schon oft.
 
@Mustis
Vielleicht hilft das:
  • Überleitung finden, also die Nummernfolgen in Abschnitten gedanklich irgendwas zuordnen.
  • Wenn die Möglichkeit zur PIN-Änderung da ist, natürlich nutzen.
  • Bei Nummernblock, verschiedene Wisch-Zeichen kombinieren
  • Allgemeine PWs, L33t nutzen, möglichst viele verschiedene Zeichengruppen, und gerne auch mal Dinge wie QWERT oder 1234 irgendwo zwischen. Klar Wörterbuch umgeht das, aber das PW wird generell länger und wird somit schon sicherer, als ohne. Ich glaube das möglichst kürzeste (laut KP) sicherer PW war um die 13 Zeichen . (Normal erst ab ca 18)
Hilft beim FBI natürlich auch nicht, aber gegen "Neugierige" auf jeden Fall.
DaZpoon schrieb:
entsprechende (steigende) Antwortzeiten vereitelt.
Zum Vergrößern anklicken....
Wird bereits gemacht, aber wurde umgangen.
 
@Biedermeyer die Aussage steht im Kontext und Zusammenhang mit den anderen Links im Text, in denen das FBI, die US-Justiz und Donald Trump fordern, dass Apple seine Ende-zu-Ende-Verschlüsselung innerhalb von iOS aufgeben soll.

Was technisch möglich ist und was nicht, steht in den verlinkten Artikel, mit Apple-Hate* hat das ganz sicher nichts zu tun und wo du hier Bild-Niveau siehst, kann ich leider nicht nachvollziehen, weshalb die Aussage exakt so bestehen bleibt. Ich danke dir natürlich dennoch für dein Feedback.

*ich bin iPhone-Nutzer seit dem Release es Ur-iPhones in Europa am 9. November 2007.
 
  • Gefällt mir
Reaktionen: Merle, M@tze und yummycandy
Biedermeyer schrieb:
Apple hatte sehr wohl unterstuetzt, soweit es moeglich war.
Zum Vergrößern anklicken....

Das wird im Satz doch nicht bestritten sondern es sagt doch nur aus, dass es auch ohne Hilfe bzw. weitere Hilfe möglich ist. Sonst hätte doch der Satz gelautet:
[...] mit Hilfe von forensischer Software trotz fehlender Unterstützung von Apple zu umgehen.
 
  • Gefällt mir
Reaktionen: SVΞN
P220 schrieb:
Und was habe ich im letzten Thread noch erklärt?
Aber Menschen wie @iSight2TheBlind werden es einfach niemals begreifen...
Zum Vergrößern anklicken....

Im letzten Thread ging es um Activation Lock!
Activation Lock sorgt dafür, dass ein damit gesperrtes Gerät beim Neuaufsetzen zuerst die Apple ID-Zugangsdaten des Besitzers abfragt und ohne Eingabe dieser Daten nicht aktiviert werden kann.

Das hat absolut nichts mit dem Zugriff auf auf dem Gerät enthaltene Daten zu tun, da geht es allein um eine Diebstahlsabschreckung, denn ein gestohlenes Gerät kann nicht erneut in Betrieb genommen werden.
An die auf dem Gerät enthaltenen Daten kommt ein Dieb - wenn eine PIN gesetzt ist - eh nicht.

Du vermischt hier wieder völlig unterschiedliche Dinge und bist vollkommen lernresistent!

P220 schrieb:
Der Punkt liegt hier:

Sprich, es ist scheiß egal ob dein PW 63 zufällige ANSI Chars hat und OLCF-4 "etwas länger" bräuchte. Wenn die Verschlüsselung und dessen Implementierung Mist ist - wie hier - kommt man auch an deine Daten.
Zum Vergrößern anklicken....

Ist es nicht, da es 80ms dauert um ein Passwort/PIN von der Secure Enclave überprüfen zu lassen.
Mit längerem Passwort steigen auch die durchschnittlichen Versuche bis man das richtige Passwort errät und es macht natürlich einen Unterschied ob eine vierstellige PIN in Minuten, eine sechsstellige PIN in Stunden oder ein Passwort mit 63 Stellen in Äonen erraten wird.
 
  • Gefällt mir
Reaktionen: Merle, Helge01 und M@tze
P220 schrieb:
Hilft beim FBI natürlich auch nicht, aber gegen "Neugierige" auf jeden Fall.
Zum Vergrößern anklicken....
Gegen neugierig reicht ein 4stelliger Pin bereits aus, ein 6-stelliger allemal und da sic nichtmal meine Frau für den Inhalt meines Handys interessiert, dürfte der Kreis ohnehin überschaubar sein.
 
  • Gefällt mir
Reaktionen: SVΞN und P220
In den Fall, stimmt. Hab ja bewusst "Neugierige" geschrieben, gestrichelt, also nicht Familie/Freunde. 🙂
 
P220 schrieb:
holdes schrieb:
Also ich habe auch ein mehr als 20 Zeichen langen alphanumerischen Sperrcode, durch Face ID gebe ich den aber nicht so oft ein als dass es mich stören würde. Maximal 1-2 pro Tag.
Zum Vergrößern anklicken....
Der Punkt liegt hier:
um dann über eine Brute-Force-Attacke in das Gerät zu gelangen. Dabei wird Apples automatische Sperre nach einer gewissen Anzahl von Fehlversuchen umgangen.
Zum Vergrößern anklicken....
Sprich, es ist scheiß egal ob dein PW 63 zufällige ANSI Chars hat und OLCF-4 "etwas länger" bräuchte. Wenn die Verschlüsselung und dessen Implementierung Mist ist - wie hier - kommt man auch an deine Daten. Veracrypt z.B. nutzt Iterations Multiplier um BruteForce zu erschweren, über entsprechender Exploits wäre das aber ebenfalls wirkungslos. Vorteil: Hier setzen sitzen Leute um eben genau das zu verhindern, da es um ihre eigenen Daten geht.
Zum Vergrößern anklicken....
Auch deine Aussage ist falsch.
Wie oft muss man es noch sagen, dass da kein Fehler im Verschlüsselungssystem ist sondern bei der Eingabe der PINs. Damit kriegt Cellbrite und Gray erst einmal die Möglichkeit überhaupt mehr als 10 Versuche vorzunehmen. Was danach folgt ist Brute-Force und da schaffen die Behörden mit den Tools von Cellbrite und Gray nunmal lediglich Zahlen-PINs und ab 8-stelligen Zahlen wirds auch hier schwer. Die Geräte sind teuer und können gar nicht erst mehrere Jahre blockiert werden um irgend ein sinnloser Brute-Force Versuch durchzuführen. 95% der Benutzer haben 4- oder 6stellige Zahlenpins und die knackt man und bringt den Sachverhalt danach erfolgreich zur Anzeige.

Ausserdem:
Sun_set_1 schrieb:
Tada100 schrieb:
@Sun_set_1
Und anbei, ist das nur ne Box die das macht, jetzt stell dir vor die würden da noch mehr "Rechnenpower" hintersetzen, zusammen mit dem Exploit ist dann auch ein alphanummerischer Code nicht mehr sicher.
Zum Vergrößern anklicken....
Auch das ist falsch, da die Verarbeitungsgeschwindigkeit von der Secure Enclave im Gerät selber abhängt. Völlig egal ob dann ein PC oder alle Serverfarmen der Welt draufgeschaltet werden - der Prozessor im iPhone, der die Eingaben verarbeiten muss, wird dadurch nicht schneller oder ermöglicht plötzlich zig Millionen Varianten pro Sekunde.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Merle und M@tze
P220 schrieb:
Sprich, es ist scheiß egal ob dein PW 63 zufällige ANSI Chars hat und OLCF-4 "etwas länger" bräuchte.
Zum Vergrößern anklicken....

Lies noch mal den Artikel. Ich glaube, Du hast nicht richtig verstanden um was es geht bzw. WAS das Problem ist. Es wird einzig der Mechanismus von Apple umgangen, dass nach 10 falschen Versuchen das Gerät hart gelöscht wird. Man kann von "aussen" nicht erkennen ob der User das eingeschaltet hat oder nicht, das die Funktion OptIn und kein OptOut ist. Wenn es also aktiviert ist, und man geht da mit BruteForce ran, ist nach 10 Versuchen Ende - wenn nicht, dann nicht. Anscheinend wurde aber eine Möglichkeit gefunden, dies zu umgehen und damit ist man nicht mehr auf die 10 Versuche eingeschränkt. Trotzdem macht es einen gewaltigen Unterschied, ob ich per Brute Force eine 4 oder 6 stellige PIN oder ein langes, komplexes Passwort erraten will. Das kann dann schon in Richtung "geht theoretisch, aber wir haben nicht die Zeit/Ressourcen dazu" gehen...

"Etwas länger" ist daher die Übertreibung schlechthin.

PS: Gerade gesehen, das @davidnet gerade das Gleiche geschrieben hat. :)
 
P220 schrieb:
Wird bereits gemacht, aber wurde umgangen.
Zum Vergrößern anklicken....
Nur wie? Der TPM sollte doch dann einen recht komplexen Schlüssel zurückliefern. Daher ist es doch egal ob man da ein sicheres oder unsicheres PW/PIN vergeben hat. Die Parameter für diesen komplexen Schlüssel liegen doch im TPM (hoffentlich) gut geschützt durch Hardware. Die Behörde müsste dann also mit dem komplexen Schlüssel Brute-Forcen. Das ist schon sehr aufwendig. Oder sie haben das TPM im REM untersucht, die Parameter durch Seitenkanalattacken ausgelesen und dann den Schlüssel rekonstruiert.

Und ich würde nicht erwarten dass nach 10 Versuchen das Gerät gelöscht wird, sondern das TPM den Schlüssel für immer und ewig vergisst.
 
Zuletzt bearbeitet:
Dr. MaRV schrieb:
Nein, da keine iOS Version genannt wird und das ganze 2 Monate gedauert hat und bis zur Bekanntmachung solcher Vorgehen immer eine Gewisse Zeit vergeht, kann man nicht pauschal sagen, das nun jedes iPhone geknackt werden kann. Die Lücke könnte in iOS 13.3 bereits geschlossen sein und das geknackte Gerät mit iOS 13.1 ausgestattet gewesen sein. Das Telefonmodell ist dabei auch uninteressant, die Lücke ist im OS, also kann man sie auch für iPhone 7,8, X und alle anderen hernehmen, die mit dem OS laufen.
Zum Vergrößern anklicken....

Wo habe ich behauptet, dass man pauschal jedes iPhone knacken kann?

Das Gegenteil der Aussage "Also ist auch iOS 13 offenbar aktuell kein Problem mehr." ist "Keine Variante von iOS 13 ist knackbar." und wird durch die News falsifiziert. Ich habe keine bestimmte minor Versionsnummer von iOS 13 oder gar alle Varianten davon in den Mund genommen.

Dr. MaRV schrieb:
Das Telefonmodell ist dabei auch uninteressant, die Lücke ist im OS, also kann man sie auch für iPhone 7,8, X und alle anderen hernehmen, die mit dem OS laufen.
Zum Vergrößern anklicken....

Das ist völliger Schwachsinn. Es gibt sicherheitsrelevante Hardwareunterschiede bei den iPhone-Modellen, die nicht durch Firm- oder Software aufgewogen werden können. Dazu gehört die Secure Enclave seit A7 und die Face ID Sachen seit A11, daher KANN es gar nicht sein, dass die Lücken-Parität sich ausschließlich über das OS ergibt. Du kannst überhaupt nicht a priori wissen ob dieselbe Lücke auf allen Geräten mit demselben iOS funktioniert; das ist pure Mutmaßung die jeglicher technischer Informatik entbehrt.
 
davidnet schrieb:
Wie oft muss man es noch sagen, dass da kein Fehler im Verschlüsselungssystem ist sondern bei der Eingabe der PINs.
Zum Vergrößern anklicken....
🙄 Ich habe doch geschrieben und Implementierung. Egal ob es ums PIN-Lock, Cloud-Lock o.ä. geht.
Langsam bin ich ebenfalls Leid immer drauf hinzuweisen mal richtig zu lesen...
M@tze schrieb:
Lies noch mal den Artikel.
Zum Vergrößern anklicken....
🙄 Ich habe mich nicht auf den Artikel bezogen, warum sehen manche den Kontext nicht?!

Aber war klar das einige Fans wieder erscheinen...
DaZpoon schrieb:
Nur wie?
Zum Vergrößern anklicken....
Steht eigentlich im Artikel, Cellebrite und anschließend Bruteforce.
Chiaki schrieb:
Wo habe ich behauptet, dass man pauschal jedes iPhone knacken kann?
Zum Vergrößern anklicken....
Versuch es erst gar nicht, die drehen dir hier alles im Munde um...
 
  • Gefällt mir
Reaktionen: Chiaki
P220 schrieb:
Langsam bin ich ebenfalls Leid immer drauf hinzuweisen mal richtig zu lesen...
Zum Vergrößern anklicken....
Richtig lesen reicht halt eben nicht, man sollte auch eine geringe Ahnung von dem haben was man liest.
 
  • Gefällt mir
Reaktionen: P220
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Sasan
News Auch US-Ermittler nehmen Verfahren gegen Intel auf
2 3 4
Antworten
72
Aufrufe
6.833
cab.by
cab.by

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz