Elcomsoft zeigt ‚Password Breaker‘; Datenschutz-Debatte um App Store-Programme
Die russische Softwarefirma Elcomsoft veröffentlicht eine erste Beta-Version des ‚iPhone Password Breaker‘ (Download-Link), welcher einen Wörterbuchangriff auf verschlüsselte iPhone-Backups am Rechner ausführt. Dabei werden unzählige Begriffe nach einer Wörterbuch-Liste auf das seit Firmware 3.0 eingeführte Kryptographie-Feature in iTunes abgefeuert.
Im Anschluss der Beta-Phase, die bis zum 15.März läuft, sollen sich auch individuelle Begriffe automatisiert durchprobieren lassen. ‚Password Breaker 1.0 beta 1‘ läuft unter Windows (7, Vista sowie XP) für alle iPhone- und iPod touch-Generationen und wird durch mehrere Rechner- und Grafikkarten-Prozessoren beschleunigt.
Zuletzt zeigte Jonathan Zdziarski die Aufhebung der Code-Sperre und Sicherheitskopie-Verschlüsselung am iPhone. Apple reagierte und besserte mit einem Firmware-Update nach.
~~~~
Ergänzend sei in diesem Zusammenhang noch auf einen Vortrag des Schweizer Softwareentwickler Nicolas Seriot verwiesen, der auf der Black Hat-Konferenz zur Informationssicherheit sein Paper ‚iPhone Privacy‘ (PDF-Link) und ein entsprechendes ‚Proof of Concept‘-Programm namens SpyPhone präsentierte.
In seiner Demonstration wurde durch ein schadhaftes Programm unter anderem der Zugriff auf das Adressbuch, einen MobileSafari-Webverlauf sowie die E-Mail Account-Parameter simuliert. Ein nachlässig durchgewunkenes App Store-Programm könnte diese Daten an einen fremden Server im Internet übermitteln. Seriots Kritik am ‚Sandbox‘-Verfahren von Apple, das trotz des vermeintlich geschlossenen Systems ein Abschnorcheln von persönlichen Informationen erlaubt, äußerte er bereits Anfang Dezember.
An (Praxis-)Beispielen fehlt es dazu nicht: Das Taktikspiel Aurora Feint übertrug in einer frühen Version das komplette iPhone-Adressbuch auf den Server des Herstellers. Der Anbieter für Verkehrsinformationen ‚mogoRoad‘ soll Telefonnummern von iPhone-Kunden durch ihre Anwendung gesammelt und dann mit Werbeanrufen versehen haben. Eine Spyware-Debatte entbrannte auch um das MMOG-Spiel ‚Vampires Live‘ (kostenlos; App Store-Link) des Entwicklers Storm8, das Mobilfunknummern ohne Benachrichtigung übertrug. Der ‚Fehler‘ wurde kurze Zeit später ausgebessert.
via readwriteweb