Die russische Softwarefirma Elcomsoft veröffentlicht eine erste Beta-Version des ‘iPhone Password Breaker’ (Download-Link), welcher einen Wörterbuchangriff auf verschlüsselte iPhone-Backups am Rechner ausführt. Dabei werden unzählige Begriffe nach einer Wörterbuch-Liste auf das seit Firmware 3.0 eingeführte Kryptographie-Feature in iTunes abgefeuert.

Im Anschluss der Beta-Phase, die bis zum 15.März läuft, sollen sich auch individuelle Begriffe automatisiert durchprobieren lassen. ‘Password Breaker 1.0 beta 1′ läuft unter Windows (7, Vista sowie XP) für alle iPhone- und iPod touch-Generationen und wird durch mehrere Rechner- und Grafikkarten-Prozessoren beschleunigt.

Zuletzt zeigte Jonathan Zdziarski die Aufhebung der Code-Sperre und Sicherheitskopie-Verschlüsselung am iPhone. Apple reagierte und besserte mit einem Firmware-Update nach.

~~~~

Ergänzend sei in diesem Zusammenhang noch auf einen Vortrag des Schweizer Softwareentwickler Nicolas Seriot verwiesen, der auf der Black Hat-Konferenz zur Informationssicherheit sein Paper ‘iPhone Privacy’ (PDF-Link) und ein entsprechendes ‘Proof of Concept’-Programm namens SpyPhone präsentierte.

In seiner Demonstration wurde durch ein schadhaftes Programm unter anderem der Zugriff auf das Adressbuch, einen MobileSafari-Webverlauf sowie die E-Mail Account-Parameter simuliert. Ein nachlässig durchgewunkenes App Store-Programm könnte diese Daten an einen fremden Server im Internet übermitteln. Seriots Kritik am ‘Sandbox’-Verfahren von Apple, das trotz des vermeintlich geschlossenen Systems ein Abschnorcheln von persönlichen Informationen erlaubt, äußerte er bereits Anfang Dezember.

An (Praxis-)Beispielen fehlt es dazu nicht: Das Taktikspiel Aurora Feint übertrug in einer frühen Version das komplette iPhone-Adressbuch auf den Server des Herstellers. Der Anbieter für Verkehrsinformationen ‘mogoRoad’ soll Telefonnummern von iPhone-Kunden durch ihre Anwendung gesammelt und dann mit Werbeanrufen versehen haben. Eine Spyware-Debatte entbrannte auch um das MMOG-Spiel ‘Vampires Live’ (kostenlos; App Store-Link) des Entwicklers Storm8, das Mobilfunknummern ohne Benachrichtigung übertrug. Der ‘Fehler’ wurde kurze Zeit später ausgebessert.

via readwriteweb

Die russische Softwarefirma Elcomsoft veröffentlicht eine erste Beta-Version des 'iPhone Password Breaker' (Download-Link), welcher einen Wörterbuchangriff auf verschlüsselte iPhone-Backups am Rechner ausführt. Dabei werden unzählige Begriffe nach einer Wörterbuch-Liste auf das seit Firmware 3.0 eingeführte Kryptographie-Feature in iTunes abgefeuert. Im Anschluss der Beta-Phase, die bis zum 15.März läuft, sollen sich auch individuelle Begriffe automatisiert durchprobieren lassen. 'Password Breaker 1.0 beta 1' läuft unter Windows (7, Vista sowie XP) für alle iPhone- und iPod touch-Generationen und wird durch mehrere Rechner- und Grafikkarten-Prozessoren beschleunigt. Zuletzt zeigte Jonathan Zdziarski die Aufhebung der Code-Sperre und Sicherheitskopie-Verschlüsselung am iPhone. Apple reagierte und besserte mit einem Firmware-Update nach. ~~~~ Ergänzend sei in diesem Zusammenhang noch auf einen Vortrag des Schweizer Softwareentwickler Nicolas Seriot verwiesen, der auf der Black Hat-Konferenz zur Informationssicherheit sein Paper 'iPhone Privacy' (PDF-Link) und ein entsprechendes 'Proof of Concept'-Programm namens SpyPhone präsentierte. In seiner Demonstration wurde durch ein schadhaftes Programm unter anderem der Zugriff auf das Adressbuch, einen MobileSafari-Webverlauf sowie die E-Mail Account-Parameter simuliert. Ein nachlässig durchgewunkenes App Store-Programm könnte diese Daten an einen fremden Server im Internet übermitteln. Seriots Kritik am 'Sandbox'-Verfahren von Apple, das trotz des vermeintlich geschlossenen Systems ein Abschnorcheln von persönlichen Informationen erlaubt, äußerte er bereits Anfang Dezember. An (Praxis-)Beispielen fehlt es dazu nicht: Das Taktikspiel Aurora Feint übertrug in einer frühen Version das komplette iPhone-Adressbuch auf den Server des Herstellers. Der Anbieter für Verkehrsinformationen 'mogoRoad' soll Telefonnummern von iPhone-Kunden durch ihre Anwendung gesammelt und dann mit Werbeanrufen versehen haben. Eine Spyware-Debatte entbrannte auch um das MMOG-Spiel 'Vampires Live' (kostenlos; App Store-Link) des Entwicklers Storm8, das Mobilfunknummern ohne Benachrichtigung übertrug. Der 'Fehler' wurde kurze Zeit später ausgebessert. via readwriteweb