Video: Hardware-Box ermittelt iPhone-Passcode in 3 Tagen

Das Video des Youtubers EverythingApplePro schient Apple auf dem falschen Fuß erwischt zu haben. So reagierte Apple PR-Abteilung ungewöhnlich schnell auf den kurz vor dem Wochenende veröffentlichten Clip.

Der im Video demonstrierte Brute-Force-Angriff auf den iPhone-Passcode sei nur unter Laborbedingungen möglich, würde bei sechsstelligen Codes bis zu einem Jahr dauern und würde spätestens mit der Ausgabe von iOS 11 behoben werden.

Worum ging es: Der Youtuber EverythingApplePro demonstrierte auf seinem Kanal einen kleinen Hardware-Kasten, mit dessen Hilfe die Passcodes von bis zu drei angeschlossenen iPhones automatisiert ermittelt werden konnten. Die rund $500 teure Box nutzte dafür einen Fehler im iOS-Betriebssystem aus, der das uneingeschränkte Raten möglicher Passcodes gestattete und für deren Eingabe lediglich eine USB-Verbindung benötigte.

Die Voraussetzungen für den Einsatz des Gerätes sind überschaubar: Die Box arbeitet ausschließlich mit iPhone 7 und iPhone 6/6s-Modellen zusammen, setzt ein Gerät im Wiederherstellungszustand voraus und kommt nur mit ausgewählten Versionen des iOS-Betriebssystems zurecht.

Sind entsprechende Modelle angeschlossen kann die Box den Passcode innerhalb von 3 Tagen (bei vierstelligen PINs) bzw. 374 Tagen (bei sechsstelligen PINs) ermittelt. Die kurzen Zeiten lassen sich jedoch nur erreichen, wenn der PIN innerhalb der letzten zehn Minuten geändert wurde. Ist dies nicht der Fall müssen bis zu 70 Tage (bei vierstelligen PINs) bzw. bis zu 19 Jahre (bei sechsstelligen PINs) eingeplant werden.

Laut Apple werden Strafverfolgungsbehörden die Hardware-Box nach der Veröffentlichung von iOS 11 nicht mehr einsetzen können.