Neulich wurde
bekannt, dass ein Informationssicherheitsspezialist mit dem Spitznamen xerub Zugang zum Secure Enclave-Schutz erhalten konnte. Der Hacker hat bereits den entsprechenden Entschlüsselungsschlüssel veröffentlicht, mit dem andere Experten die Funktionen des kryptografischen Schutzes von Apple-Geräten detailliert untersuchen können. "Jeder kann jetzt SEP anzeigen und stöbern", sagte xerub.
Apple hat die Echtheit des vom Hacker veröffentlichten Schlüssels noch nicht bestätigt. Dennoch haben Unternehmensvertreter bereits erklärt, dass die Daten der Benutzer der Gadgets des Unternehmens auch dann nicht gefährdet sind.
Secure Enclave ist eine Technologie, die Teil des Prozessors von Geräten ist, die mit einem Touch ID-Sensor ausgestattet sind. Der Sensor selbst speichert keine Fingerabdruckbilder. Stattdessen behält er ihre mathematischen Darstellungen bei.
Laut Vertretern von Apple ist es aus einer mathematischen Darstellung unmöglich, ein reales Bild des Drucks zu erhalten. Um jedoch auch nur die geringste Gelegenheit zu vermeiden, dies Dritten zu tun, hat das Unternehmen Secure Enclave gegründet. Alle Fingerabdruckdaten werden verschlüsselt und mit einem Schlüssel geschützt, der nur Secure Enclave zur Verfügung steht. Sie werden nur von diesem System verwendet, um zu überprüfen, ob der Fingerabdruck mit den gespeicherten Daten übereinstimmt. Es (das System) ist vom Rest des Prozessors und vom Betriebssystem selbst getrennt. Daher können die Daten im Repository nicht von iOS und anderen Programmen verwendet werden, die auf Apple-Servern gespeichert und in iCloud oder andere Repositorys kopiert werden.
Andere Sicherheitsexperten
glauben, dass der Zugriff auf Secure Enclave Apple-Geräte immer noch anfällig für Cracker macht, unabhängig davon, was Apple sagt. "Ich hoffe, Apple wird daran arbeiten, den Benutzerschutz zu verbessern, da es nicht mehr möglich ist, SEP zu verbergen", sagte xerub.
Leider hat er die Methoden zur Entschlüsselung des Sicherheitsschlüssels nicht bekannt gegeben. Er sagte auch nichts darüber, ob im SEP-System Schwachstellen gefunden wurden oder nicht.
"Meiner Meinung nach gibt es hier nichts Schreckliches", sagte Partick Wardle, Leiter Cybersicherheit bei Synack und Gründer von Objective-See. „Dies bedeutet nur, dass Spezialisten für Informationssicherheit und ja, Hacker, die Firmware jetzt auf Fehler analysieren können. Zuvor war es verschlüsselt, sodass nichts getan werden konnte. Jetzt ist der Schutz jedoch weniger stark, sodass Benutzer von Drittanbietern die Software analysieren können. “
Die Frage, ob xerub den Entschlüsselungsschlüssel in irgendeiner Weise verwenden kann, um Schwachstellen (falls vorhanden) auszunutzen, bleibt offen. Eine weitere wichtige Frage ist, ob Apple das Problem lösen und einen neuen Verschlüsselungsschlüssel für Secure Enclave entwickeln kann.
Bisher gab es nicht so viele Informationen zu dieser Technologie. Das Unternehmen sprach darüber, gab jedoch die wichtigsten Details nicht bekannt. Im vergangenen Jahr hielt ein Team von Cybersicherheitsexperten einen Vortrag zu diesem Schutz. Experten haben viel gelernt, aber vieles ist verborgen geblieben. Jetzt gibt es kein Geheimnis mehr. Es bleibt abzuwarten, bis Apple reagiert und weitere Maßnahmen sowohl des Unternehmens als auch von Spezialisten von Drittanbietern, einschließlich Crackern, ergriffen werden.
TouchID wurde erstmals auf dem iPhone 5S und iPad Air 2 angezeigt. Mithilfe eines Fingerabdrucks können Benutzer nicht nur ihre Telefone entsperren, sondern auch Transaktionen in verschiedenen Programmen bestätigen, darunter Apple Pay, Apple App Store, iBooks und andere Anwendungen.
Und ein bisschen mehr über das Hacken
Die Probleme von Apple enden hier nicht. Eine andere Gruppe von Spezialisten konnte einen neuen Weg finden, um den Schutz passwortgeschützter Telefone zu umgehen. Diese Hacking-Methode wurde vom Autor des Youtube-Kanals EverythingApplePro gezeigt.
Die Methode basiert auf der Aufzählung von Optionen für einen PIN-Code und funktioniert im Wiederherstellungsmodus, in dem die Begrenzung der Anzahl der Versuche zur Eingabe eines Kennworts nicht gilt. Die Auswahl eines 4-stelligen Codes dauert ca. 20 Stunden. Dies ist nicht so sehr, wenn man bedenkt, dass ein früheres Erraten des Passworts unmöglich war. Im Allgemeinen muss Apple versuchen, alle Probleme mit der Sicherheit seiner Geräte zu lösen.