Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 183

Forscher kritisieren PIN-Speicherpraxis des iPhone


In der Keychain von iOS-Geräten findet sich die PIN der SIM-Karte. Vergrößern
Das iPhone speichert die PIN der eingelegten SIM-Karte dauerhaft in der Keychain. Damit verstößt Apple nicht nur gegen die relevanten Standards, sondern gefährdet auch die Sicherheit, kritisiert Jens Heider vom Fraunhofer SIT. Denn die PIN lässt sich auch aus gesperrten Geräten recht einfach auslesen.

In der Tat konnte heise Security auf Anhieb den Eintrag SIM_PIN mit den korrekten 4 Ziffern in der Keychain lokalisieren. Dort verbleibt der Eintrag, bis das Gerät geordnet heruntergefahren wird. Der Sachverhalt ist auch in Apples kürzlich veröffentlichten Security-Übersicht dokumentiert; Apple nutzt dies anscheinend, um den PIN-Code der SIM-Karte nach Abstürzen nicht erneut abfragen zu müssen.

Das Problem dabei ist, dass sich die SIM_PIN auch dann rekonstruieren lässt, wenn ein Dieb etwa ein gesperrtes iPhone in die Finger bekommt. Der Keychain-Eintrag ist dabei nicht einmal mit dem Sperrcode des iPhones gesichert, sondern direkt auslesbar (Protection Class AlwaysThisdeviceOnly).

Heider kritisiert in seiner iOS Keychain Weakness FAQ, Apple verstoße damit gegen den SIM-Karten-Standard der ETSI/3GPP. Dort heißt es tatsächlich in Sektion 5.3, dass ein mobiles Endgerät anwenderbezogene Security-Codes wie die PIN für die Dauer der damit durchzuführenden Operationen speichern darf. Das Gerät müsse sie "sofort nach dem Abschluss der Operation" löschen, heißt es da sehr eindeutig.

Angesichts der Tatsache, dass selbst sicherheitsbewusste Anwender sich für ihr Handy nicht zwei PINs merken wollen und viele deshalb den Sperrcode des iPhones gleich dem der SIM-Karte wählen, mögen diese Bedenken eher theoretisch klingen. Sie gewinnen jedoch an Relevanz, wenn man berücksichtigt, dass die geplanten neuen Bezahlverfahren der Mobilfunkprovider mit Handy und NFC eine Person über die SIM-Karte identifizieren. (ju)

183 Kommentare

Themen:

Anzeige
  1. iPhone per iCloud von Erpressern gesperrt: Was Sie tun können

    iPhone iCloud-Fernsperung

    Kriminelle versuchen, iPhone-Nutzer per Fernsperrung zur Zahlung eines Lösegeldes zu bringen. Der Angriff funktioniert selbst bei aktivem Zwei-Faktor-Schutz. Mac & i zeigt, wie Sie die Kontrolle über das iPhone zurückerhalten – ohne zu bezahlen.

  2. Verschlüsselung: Scotland Yard entreißt Verdächtigem iPhone

    iPhone 6 Plus

    Die iOS-Verschüsselung gilt als stark – und Apple verweigert Hintertüren. In Großbritannien kam die Polizei daher nun auf eine besondere Idee.

  3. Apples iCloud-Schlüsselbund: Forensik-Tool soll Zugangsdaten auslesen

    Apples iCloud-Schlüsselbund: Forensik-Tool soll Zugangsdaten auslesen

    Die Software ermöglicht, in der iCloud-Keychain gespeicherten Zugangsdaten innerhalb weniger Minuten auszulesen, verspricht der Hersteller. Der Zugriff erfordert die Kenntnis des Apple-ID-Passworts sowie die Kontrolle über Apple-Hardware der Zielperson.

  4. Erneut iCloud-Erpressungswelle über "Meinen Mac suchen" und "Mein iPhone suchen"

    Erneut iCloud-Erpressungswelle über "Meinen Mac suchen"

    Angreifer, die im Besitz von iCloud-Accountdaten sind, versuchen derzeit wieder verstärkt, Geräte-Lösegeld von verschreckten Nutzern zu erhalten. Apple kann allerdings helfen. Beim iPhone ist es noch einfacher.

  1. Apples 2016 – ein Jahr voller Tumulte

    Apple-Logo

    Es war ein schwieriges Jahr für den iPhone-Hersteller: Neben dem ersten Umsatzrückgang seit mehr als einer Dekade musste der Konzern mit Software-Problemen und heftiger Kritik an Produktentscheidungen kämpfen – zuletzt beim neuen MacBook Pro. Das zurückliegende Jahr verrät auch manches über Apples Zukunftspläne.

  2. Mobile Payment: Alles Wissenswerte zum mobilen Bezahlen mit dem Smartphone

    Mobile Payment: Alles Wissenswerte zum Bezahlen mit dem Smartphone

    Wussten Sie, dass man in Deutschland schon in den meisten Supermärkten mit dem Smartphone bezahlen kann? Payment-Apps wie Boon machen es möglich.

  3. Besserer Schutz: Zwei-Faktor-Authentifizierung für die Apple ID

    Zwei-Faktor-Authentifizierung auf iPhone und iPad

    Die Zwei-Faktor-Authentifizierung sichert Apple ID und iCloud ab. Mac & i zeigt die Einrichtung Schritt für Schritt, nennt die Vorteile des neuen Systems und erklärt den Umstieg von der alten zweistufigen Bestätigung.

  1. "Hackintosh": Der mühsame Weg zum maßgeschneiderten Mac

    Apple

    Will man OS X nutzen, muss man MacBook, Mac mini, iMac oder dem veralteten Mac Pro wählen Wer eine andere Hardware-Zusammenstellung oder einen leistungsfähigen Gaming-Mac haben will, schaut in die Röhre – oder bastelt sich einen.

  2. Im Test: Seat Ateca 1.0 TSI

    Seat Ateca

    Der Kompakt-Klasse droht seit einiger zeit heftige Konkurrenz durch ähnlich große SUV. Bei Seat ist die Verwandtschaft zwischen Leon und Ateca unverkennbar. Wie fährt sich das SUV mit dem 115-PS-Basisbenziner? Ein Test

  3. Vorstellung: Borgward Isabella Concept

    Borgward Isabella

    Borgward will noch in diesem Jahr mit den Verkäufen in Deutschland starten. Zu Beginn wird es nur SUVs geben, doch dabei wird es nicht bleiben. Wie es bei Borgward weitergehen könnte, zeigt eine Studie mit dem traditionsreichen Namen Isabella

  4. Diesel: Das Ende ist nah

    Die Energie- und Klimawochenschau: Von globaler Erwärmung, Stürmen vom atlantischen Fließband, verdrängenden Politikern und einer optimistischen Prognose für das Elektroauto

Anzeige