iPhone 5s: Raffinierter aber unwahrscheinlicher Hack mit Fingerabdruck umgeht Fernlöschen

Ben Miller

Auch wenn Apples Touch ID Fingerabdruckscanner sehr fortschrittlich ist, sollte man sich nicht zu sehr in Sicherheit wiegen, wie das folgende Video zeigt.

iPhone 5s: Raffinierter aber unwahrscheinlicher Hack mit Fingerabdruck umgeht Fernlöschen

Kein System ist absolut sicher, auch nicht Touch ID. Jedoch hat Apple den Standard an Sicherheit für mobile Geräte mit seinem Fingerabdruckscanner deutlich angehoben. Leider steht aber oft Sicherheit in Konflikt mit Bequemlichkeit.

Sind die richtigen Voraussetzungen gegeben, kann man nicht nur Touch ID umgehen, sondern auch auf dem iPhone eingetragene E-Mail- und Web-Konten des Besitzers übernehmen.

Um wie im Video von SRLabs die Sicherheitsmechanismen – also auch Touch ID – zu umgehen, muss zunächst das Kontrollzentrum vom Sperrbildschirm aufrufbar sein, damit der Angreifer den Flugzeugmodus aktivieren und so das Fernlöschen unterbinden kann. Ist dies nicht der Fall, ist der Angriff bereits abgewehrt, bevor er angefangen hat.

Sollte das Kontrollzentrum aber aktiv sein, kann sich der Angreifer in Ruhe auf den Fingerabdruck des iPhone-Besitzers konzentrieren. Aber nur weil man den ganzen Tag auf seinem iPhone herumtippt, heißt das nicht, dass ein kompletter, deutlicher und somit rekonstruierbarer Fingerabdruck auf dem Gerät zu finden ist. Werft mal einen Blick auf euren Touchscreen.

Auch muss man über das nötige Equipment und Fachwissen verfügen, um so einen Fingerabdruck zu rekonstruieren.

Dann spielt natürlich auch noch Zeit eine große Rolle. Für das Nachbauen des Fingerabdrucks und das erfolgreiche Einloggen benötigter der Angreifer mindestens eine Stunde – wenn wirklich alles auf Anhieb funktioniert.

Bemerkt der Besitzer den Diebstahl seines iPhones schnell und reagiert dementsprechend zeitnah, kann man dem Dieb eine unüberwindbare Hürde in den Weg legen, in dem man alle Passwörter der auf dem Gerät gespeicherten E-Mail-Konten ändert.

Ein weiterer essenzieller Faktor für den erfolgreichen Hack ist auch noch, dass auf dem Gerät alle Konten von alternativen E-Mail-Adressen eingetragen sind, die der Besitzer zum Zurücksetzen von Passwörtern verwendet.

Ist all dies der Fall, kann der Angreifer das Passwort des iCloud-Kontos zurücksetzen. Das Gerät wird dann zwar aus der Ferne gelöscht, da der Dieb aber das neue iCloud-Passwort hat, kann er sich natürlich auch nach der Löschung damit einloggen und die vorhandenen Backups installieren.

Bilderstrecke starten
11 Bilder
iPhone: Alle versteckten Funktionen des Home-Buttons.

Voraussetzungen für diesen Hack:

  • Kontrollzentrum muss vom Sperrbildschirm aufrufbar sein.
  • Deutlicher und vollständiger Fingerabdruck muss vorliegen.
  • Equipment und Fachwissen zur Rekonstruktion eines Fingerabdrucks muss gegeben sein.
  • Das Opfer darf mindestens eine Stunde, wenn nicht länger, nicht merken, dass dessen iPhone gestohlen wurde.
  • Das Opfer darf dessen E-Mail-Passwörter in dieser Zeit nicht ändern.
  • Alternative E-Mail-Konten müssen auf dem Gerät eingetragen sein.
  • SIM-Karte darf über keinen PIN verfügen

Wie man diesen Hack unterbindet:

  • Kontrollzentrum für den Sperrbildschirm deaktivieren.
  • Sofort nach Diebstahl des Gerätes die Passwörter der auf dem iPhone eingetragenen E-Mail-Konten ändern. Am besten jene alternative E-Mail-Adresse(n), die man zum Zurücksetzen von Passwörtern verwendet, nicht auf dem Gerät eintragen.

Natürlich gibt es auch auf Apples Seite einige Dinge, die verbessert werden könnten. Unter anderem:

  • Den Zugriff auf den Flugzeugmodus vom Sperrbildschirm aus standardmäßig nicht erlauben.
  • 2-Faktor-Authentifizierung mit Fingerabdruck UND PIN-Code ermöglichen, sodass ein Faktor alleine keinen Zugriff auf das Gerät ermöglicht.
  • Flugzeugmodus und Entfernen der SIM-Karte muss mit PIN bestätigt werden.

Wie bereits erwähnt, hängt dieser „Hack“ von sehr vielen Faktoren ab. Trifft auch nur ein Punkt nicht zu, ist der Angriff abgewehrt. Auch kostet er viel Zeit. Es stellt sich die Frage, ob sich der große Aufwand für einen Angreifer überhaupt rentiert, nur um in das Smartphones eines Otto-Normalverbrauchers zu gelangen.

Nichtsdestotrotz sollte dieses Video darauf aufmerksam machen, dass nichts wirklich sicher ist. Macht euch Gedanken darüber, wie ihr bzw. eure Web-Konten im Falle des Falles abgesichert sind bzw. abgesichert werden können. Nutzt euer iPhone nicht als „ultimativen Schlüssen“ zu all euren Konten.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung