Ubuntu 10.04 knackt iPhone-Verschlüsselung

Der Sicherheitsexperte Bernd Marienfeldt hat eine Sicherheitslücke in allen Modellen des iPhone 3G und iPhone 3GS entdeckt: Selbst wenn der Zugriff auf das iPhone per PIN geschützt ist, gelangt man an alle auf dem iPhone abgelegten Daten. Der einfache Trick: Man muss das iPhone per USB-Kabel einfach nur an einen Rechner anschließen, auf dem das kürzlich erschienene Ubuntu 10.04 läuft.

Die beiden Sicherheitsexperten konnten die Lücke bei drei iPhone-Modellen feststellen, auf denen unterschiedliche iPhoneOS-Versionen laufen. Normalerweise sind alle auf dem iPhone abgelegten Daten per 256-Bit AES verschlüsselt. Wenn man das Gerät an einen Rechner anschließt, erhält man nur Zugriff auf den nicht verschlüsselten Ordner "DCIM". Schließt man beispielsweise unter Windows das per PIN gesicherte iPhone an, dann fordert iTunes den Anwender dazu auf, das Gerät durch Eingabe der PIN-Nummer freizugeben, ehe iTunes darauf zugreifen kann.

Eine Ausnahme macht nur das Betriebssystem Ubuntu 10.04 (Lucid Lynx): Hier werden alle Verzeichnisse angezeigt und man hat damit Zugriff auf beispielsweise alle auf dem iPhone abgelegten Fotos, Sprachnotizen, Podcasts und Musik-Dateien. Dabei wird nicht einmal protokolliert, dass ein unbefugter Zugriff auf die Daten stattgefunden hat.

"Wir haben schon gewusst, dass die iPhone-Verschlüsselung fehlerhaft in der Art und Weise ist, wie mit dem Verschlüsselungs-Schlüssel umgegangen wird. Die nun entdeckte Anfälligkeit zeigt, dass das Authentifizierungsmodell des Apple iPhone fehlerhaft ist", so die Entdecker der Lücke.

Apple wurde bereits über den Fund informiert und untersucht derzeit den Vorfall.