iOS-Verschlüsselung geknackt: Keine Chance für AES-256
„Keiner, der wirklich Wert auf Privatsphäre legt, sollte je ein iPhone oder sonst irgendein Smartphone verwenden“, stellen die Entwickler klar. Neben allerlei Nachrichten (SMS, E-Mail) werden auch Fotos, GPS-Koordinaten, Browser-Verlauf und sogar Screenshots der verwendeten Apps auf dem Gerät gesichert. Außerdem findet sich beim genauen Hinsehen so ziemlich jede Eingabe via virtuelle Tastatur in den Tiefen von iPhone, iPad und iPod touch.
Was die iTunes-Datensicherungen angeht, sind diese bereits mit dem Elcomsoft Phone Password Breaker zu entschlüsseln. Damit bleibt einem jedoch ein Großteil der Daten verwehrt, der besonders für die Strafverfolgung von großem Interesse sein könnte. Besteht direkter Zugriff auf das Gerät selbst, lassen sich ihm auch die übrigen Informationen entlocken, die nicht zusammen mit den Backups auf dem jeweiligen Rechner gespeichert werden.
Jede einzelne Datei ist seit iOS 4.0 mit einem eigenen Schlüssel verriegelt, der sich aus der unique identification number (UID, eindeutige Gerätenummer) ergibt. Manche sind sogar zusätzlich mit dem Sicherheitscode des Benutzers verknüpft. Dieser ist jedoch im Normalfall auf das standardmäßige 4-Ziffern-Format begrenzt, so dass höchstens 10.000 mögliche Kombinationen durchprobiert werden müssen. Diese Brute-Force-Methode benötigt auf dem iPhone 4 nach Angaben von Elcomsoft etwa 40 Minuten. Durch Ausschalten des einfachen Codes in den iOS-Einstellungen kann jedoch ein längeres Passwort verwendet werden.
Alle iOS-Geräte seit dem iPhone 3GS können mit der neuen Methode entschlüsselt werden. Solange das Toolkit der russischen Sicherheitsexperten nicht in die falschen Hände fällt, dürfte für den Durchschnitts-User keine akute Gefahr bestehen. Dennoch ist es gut zu wissen, was iPhone, iPad und iPod touch alles über uns wissen – abgesehen von dem bereits bekannten Sammelsurium an Positionsdaten. Dessen Umfang wurde mit dem neuesten iOS-Update allerdings eingeschränkt.