iCloud-Daten: Forensik-Software verspricht umfangreichen Zugriff

Posted on Posted in Hacker News

Die vermutlich auch für den iCloud-Promi-Hack genutzte Forensik-Software “Phone Breaker” erweitert die Möglichkeiten, bei Apples Cloud-Dienst gespeicherte Nutzerdaten auszulesen. Unterstützung zum Fremdzugriff auf iCloud Drive soll folgen.

Das Tool soll nun auch den iCloud-Backup-Abruf bei aktiver Zwei-Faktor-Authentifizierung ermöglichen

(Bild: Hersteller)

Der russische Software-Hersteller Elcomsoft hat mit einem Update für die Forensik-Software Phone Breaker auf Apples neue Sicherheitsmaßnahmen reagiert, die der Konzern nach Veröffentlichung zahlreicher persönlicher Nacktaufnahmen von Prominenten eingeführt hatte. Bei dem Angriff auf iCloud-Accounts von Schauspielerinnen war vermutlich auch Phone Breaker zum Einsatz gekommen, um iPhone-Backups unter Kenntnis vorher geklauter Zugangsdaten auszulesen.

Die neue Version von Phone Breaker ermöglicht den Abruf von iCloud-Backups wieder, die mit iOS 8 angefertigt wurden, verspricht der Hersteller in einer Mitteilung am Mittwoch. Das Programm unterstütze nun alle iOS-Versionen bis hin zu iOS 8.1.x sowie auch aktuelle Hardware, darunter iPhone 6 und iPhone 6 Plus.

Weitere iCloud-Daten neben Backups

Neben iCloud-Backups soll die Forensik-Software auch andere Daten des Nutzers auslesen können, darunter iWork-Dokumente, Daten von Dritt-Apps wie WhatsApp und manche Systemdateien wie das Nutzerwörterbuch der Autokorrektur. Der Zugriff auf diese Daten funktioniere derzeit allerdings nur für Accounts, die noch nicht auf iCloud Drive umgestiegen sind, betont Elcomsoft – Unterstützung für Apples im Herbst neu eingeführte “Online-Festplatte” soll Anfang 2015 folgen.

Das Programm kann nach Elcomsofts Angabe jetzt auch auf iCloud-Backups zugreifen, wenn der Nutzer Apples Zwei-Faktor-Authentifizierung aktiviert hat: Der Abruf setzt die Kenntnis von Benutzername, Passwort sowie zusätzlicher Informationen wie den Security-Code oder den Wiederherstellungsschlüssel voraus.

Passwortloser Zugriff per Token

Alternativ sei es allerdings auch möglich, das iCloud-Backup ohne diese Informationen zu beziehen: Dafür wird ein Authentifizierungs-Token benötigt, der sich aus einem Mac oder Windows-PC auslesen lässt, wenn auf diesem ein iCloud-Account eingerichtet wurde. Ein entsprechendes Tool liefert Password Breaker mit, es kann neuerdings auch Tokens auf externen Laufwerken und Disk-Images erfassen. Über das Authentifizierungs-Token soll der Download des iCloud-Backups ohne Eingabe von Benutzername und Passwort möglich sein, selbst bei aktivierter Zwei-Faktor-Authentifizierung – der Nutzer werde zudem nicht über diesen Zugriff von Apple benachrichtigt.

Das ist der Preis, den man für den Komfort zahlt, den zweiten Faktor nur zur ersten Anmeldung zu benötigen. Es betrifft nahezu alle Zwei-Faktor-Systeme für Endanwender, die derzeit im Einsatz sind – von Apple bis hin zu Google. Bei manchen Programmen lässt sich die Default-Einstellung zur Speicherung der Zwei-Faktor-Authentifizierung abschalten, allerdings beispielsweise nicht bei iCloud-Backups. Eine echte Zwei-Faktor-Authentifizierung, bei der man zu jeder Benutzung zusätzlich zum Passwort den Einmal-Code eingeben muss, kommt aber nur in Hochsicherheitsumgebungen zum Einsatz, wo dies durch Richtlinien vorgeschrieben ist.

Der Verwendung von Authentifizierungs-Tokens sei ein vielversprechender Ansatz für die Forensik, betont Elcomsoft – allerdings seien sie auch kein Allheilmittel. Das Token könne nach gewisser Zeit ablaufen oder durch den Nutzer invalidiert werden. Zudem setze das Erfassen des Tokens physischen Zugriff voraus und erfordere eventuell das Überwinden weiterer Hürden wie eine Festplattenverschlüsselung.

Quelle: heise.de

Facebooktwittergoogle_plus