Zdziarski: iPhone Hardware-Verschlüsselung komplett nutzlos

Jonathan Zdziarski, seines Zeichnens White Hat Hacker und Security-Analytiker mit dem iPhone im Fokus, meldet sich in diesem Wired-Interview erneut zu Wort. Zdziarski, der sich zuletzt dem sicheren Löschen des iPhones und der Angreifbarkeit der Passcode-Sperre widmete, hat sich aktuell der – mit dem iPhone 3GS eingeführten – Hardware-Verschlüsselung angenommen. Sein Verdikt: Nutzlos. Fünf Minuten Freizeit und die frei verfügbaren Jailbreak-Applikationen reichen aus, um an den Inhalt so verschlüsselter Geräte zu gelangen.

„I don’t think any of us [developers] have ever seen encryption implemented so poorly before, which is why it’s hard to describe why it’s such a big threat to security.“

Laut Zdziarski lassen sich die auf dem iPhone 3GS gespeicherten Daten eben so leicht auslesen, wie die des iPhone 3G bzw. des iPhone classic. Die neu eingeführte Hardware-Verschlüsselung mache sich während eines Angriffs quasi nicht bemerkbar.

„Wondering where the encryption comes into play? It doesn’t. Strangely, once one begins extracting data from an iPhone 3GS, the iPhone begins to decrypt the data on its own, he said.“

Zdziarski verweist dabei auf die Jailbreak-Werkzeuge Redsn0w und Purplera1n (wir berichteten). Führt man einen Jailbreak mit den frei erhältlichen Mini-Applikationen durch, lässt sich der eigentlich verschlüsselte Geräte-Inhalt problemlos per SSH auslesen.

Zdziarski sieht die iPhone-Entwickler in der Verantwortung. Diese dürften sich nicht auf Apples Security-Strategie verlassen, sondern sollte eigene Sicherheits-Systeme in Applikationen mit sensitiven Daten implementieren.

„If they’re relying on Apple’s security, then their application is going to be terribly insecure. Apple may be technically correct that has an encryption piece in it, but it’s entirely useless toward security.“

Mit Dank an Kai.