Die Sicherheitsforscher von Elcomsoft haben einen Weg gefunden, den Speicher von iPhones mit Hardwareverschlüsselung (3GS und 4) auszulesen und zu entschlüsseln. Das besondere daran ist, dass sie offenbar den Speicher direkt auslesen und damit beispielsweise bereits gelöschte Daten restaurieren konnten. Das ist laut Elcomsoft insbesondere für forensische Untersuchungen bei Ermittlungen wichtig.
Laut Elcomsoft muss ein iPhone dafür zunächst im DFU-Mode einen eigenen Kernel samt speziellem RAMDisk-Treiber laden – das funktoniert laut Elcomsoft ähnlich dem Booten eines PCs von einer externen Festplatte. Anschließend liest man den Flash-Speicher offenbar ohne Berücksichtigung der iOS-Dateisystemtreiber aus und erhält eine genaue Kopie des Images. Zur Entschlüsselung des Images benutzt Elcomsoft dann verschiedene Schlüssel. Diese werden von auf dem iPhone laufenden speziellen Tools extrahiert beziehungsweise zur Laufzeit berechnet.
Die Schlüssel sind im normalen Betrieb von iOS-Anwendungen nicht sichtbar, erläuterte Andrey Belenko von Elcomsoft gegenüber heise Security. Nach seinen Angaben nutzt das Verschlüsselungssystem eine Hierarchie, in der bestimmte Schlüssel von dem in Hardware eingebetteten AES-Schlüssel abgeleitet sind. Genauere Angaben dazu machte Belenko nicht. Das Verschlüsselungssystem sei jedoch sehr kompliziert. Sofern ein Passcode gesetzt sei, seien einige der besonderen Protection-Class-Schlüssel und auch bestimmte Dateien damit zusätzlich verschlüsselt.
Reply With Quote
Bookmarks