Apple iOS 7 laut Sicherheitsforscher unsicherer als iOS 6

Eine mit Apple iOS 7 eingeführte Modifizierung des Zufallszahlengenerators hat die Verschlüsselung des Kernels der OS-Version laut einem Sicherheitsexperten nicht wie gewünscht verbessert, sondern unsicherer als bei seinem Vorgänger gemacht.

Auf der Sicherheitskonferenz CanSecWest in Vancouver hat ein Sicherheitsexperte die Kernel-Verschlüsselung von Apple iOS 7 kritisiert und im Vergleich zur Vorgänger-Version iOS 6 als deutlich unsicherer eingestuft. Grund dafür ist eine mit iOS 7 eingeführte Modifizierung des Zufallszahlengenerators, der die Verschlüsselung des Kernels in iOS 7 eigentlich verbessern sollte, so Tarjei Mandt, Sicherheitsforscher bei Azimuth Security.

Apple iOS 7 laut Sicherheitsforscher unsicherer als iOS 6

Eine mit Apple iOS 7 eingeführte Modifizierung des Zufallszahlengenerators hat die Verschlüsselung des Kernels der OS-Version laut einem Sicherheitsexperten nicht wie gewünscht verbessert, sondern unsicherer als bei seinem Vorgänger gemacht (Bild: CNET.com).

Seine Erkenntnisse, dass die Sicherheit von iOS 7 deutlich schlechter ist als in iOS 6, hat Mandt nach der Vorstellung auf der CanSecWest-Konferenz in Form der Präsentationsfolien (PDF) und einem unterstützenden Whitepaper (PDF) veröffentlicht.

Einfach gesagt hat Apple mit iOS 7 die Art und Weise verändert, wie es zufallsgenerierte Zahlen zur Verschlüsselung des Kernels berechnet. Lassen diese Zahlen sich erraten, ist ihre Zufälligkeit irrelevant, und der Kernel, der einen Computer oder in dem Fall ein iPhone oder iPad kontrolliert, kann kompromittiert werden.

Laut Mandt strebte Apple eine gegenüber iOS 6 verbesserte Methode zur Erzeugung von Zufallszahlen an. In früheren iOS-Versionen setzte es dazu den CPU-Taktzähler ein. “Das ist nicht sehr gut, aber immerhin noch ziemlich unvorhersagbar”, sagte Mandt. Das Problem mit dem neuen Generator in iOS 7 sei, dass er einen linearen, rekursiven Algorithmus verwende, der “mehr Korrelationen” zu den von ihm generierten Werten aufweise. Dadurch könnten diese einfacher abgeleitet und erraten werden.

Apple iOS 7 laut Sicherheitsforscher unsicherer als iOS 6

Auf diese Weise generiert iOS 7 die Zufallszahlen für die Verschlüsselung (Bild: Azimuth Security).

“Normalerweise sollte man erst einmal nicht in der Lage sein, irgendwelche dieser Werte zu erhalten”, betonte Mandt. Er bezeichnete den Kernel-Exploit als schwerwiegend, wollte ihn aber nicht mit einer Schwachstelle gleichsetzen. Das bedeutet aber dennoch, dass jemand, der eine ungepatchte Anfälligkeit in iOS 7 findet – wie die im vergangenen Monat beseitigte “Goto fail”-Lücke – theoretisch Zugriff auf Kernel-Ebene erlangen kann.

Apple scheint das Problem ernst zu nehmen, wollte gegenüber News.com aber keinen Kommentar dazu abgeben. Nach seiner Präsentation auf der CanSecWest hätten Apples Sicherheitsexperten Kontakt zu ihm aufgenommen und sich relativ besorgt gezeigt, sagte Mandt. Zugleich wies er darauf hin, dass der Exploit nicht unterschätzt werden dürfe.

Auf der Sicherheitskonferenz wurden aber nicht nur Probleme mit iOS, sondern auch mitAndroid angesprochen. Jon Oberheide von Duo Security und Collin Mulliner, Sicherheitsforscher der Northeastern University, gingen in ihrem Vortrag auf die Problematik ein, dass Android-Geräte aufgrund der Fragmentierung oft nur mit reichlich Verspätung Sicherheitsupdates erhalten – wenn überhaupt. Mit ReKey bieten sie schon länger eine App an, die den MasterKey-Bug unabhängig von Geräte- oder Software-Version behebt.

[Mit Material von Björn Greif, ZDNet.de]

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Apple iOS 7 laut Sicherheitsforscher unsicherer als iOS 6

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *