Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5

Backups via iTunes ermöglichen Zugriff auf private Daten
#1

Unter dem Titel 'Sicherheitslücke bei iTunes ermöglicht Datenklau' hat die COMPUTERBILD nachgewiesen, dass es möglich ist, die Daten aus einem in iTunes angelegten Backup unverschlüsselt wieder auf ein iDevice einzuspielen - selbst dann, wenn das Gerät, von dem das Backup stammt, mit einem Code gesichert wurde.

Legt man mit iTunes ein physisches Backup auf einem Rechner an und spielt dieses entweder auf ein anderes oder das gleiche Gerät zurück, überträgt iTunes das Backup ohne die Code-Sperre.

Das bedeutet nicht nur, dass ein Dieb trotz Sperre mit Leichtigkeit Zugriff auf alle Daten des gestohlenen Geräts erhalten kann (inkl. Kontakten, Mails, Fotos und Kalender), sondern auch, dass es gar nicht erforderlich ist, sich dauerhaft des iDevices zu bemächtigen.
Schon eine kurze Verbindung mit einem fremden Rechner in einem unbeobachteten Moment genügt, um ein Backup anzulegen und dieses später auf ein anderes iDevice zu übertragen.

In den meisten Fällen eines Diebstahls dürften die Diebe mehr am Gerät als an den darauf vorhandenen Daten interessiert sein, dennoch sollte Apple hier unbedingt nachbessern.
Usern kann man nur raten, alle - wenn auch begrenzten - Möglichkeiten zur Ortung und Fernlöschung eines iDevices zu nutzen.

Die hier erwähnte und von der COMPUTERBILD aufgegriffene Tatsache an sich ist übrigens nicht neu - jeder, der sein iDevice mit einer Code-Sperre sichert, hat sicher nach jeder Wiederherstellung aus einem Backup schon festgestellt, dass die Code-Sperre nicht mit dem Backup zurück kommt, sondern wieder neu konfiguriert werden muss.

Eine Stellungnahme seitens Apple ist bislang nicht erfolgt.
Zitieren
#2

Naja, ComputerBILD...

... kann man das nicht umgehen, wenn man sein Backup verschlüsselt?
Zitieren
#3

Ich verschlüssle meine Backups nicht, aber ich denke, das betrifft dann nur den eigenen Rechner. Auf einem fremden Rechner müsste das Backup dann trotzdem unverschlüsselt angelegt werden können --> keine Garantie auf Richtigkeit.

Die Quelle ist auch nicht mein favorisiertes News-Portal, das ändert aber nichts daran, dass diese Lücke unerfreulich ist.
Zitieren
#4

Wenn ich mein iPhone aber z.B. verliere und der "Finder" dieses bei sich mit iTunes verbindet um ein Backup zu machen nutzt es ihm nichts, da erst die Code Sperre aufgehoben werden muss damit das iPhone unter iTunes funktioniert / erkannt wird.
Zitieren
#5

Sicher?
Eines meiner iPhones ist bedingt durch einen Exchange-Account auch mit einer Code-Sperre 'zwangsgesichert' - ich muss den Code aber nie eingeben wenn ich mit meinem Rechner synchronisiere!!

Man kann natürlich nicht direkt zugreifen, aber Rechtsklick auf das iPhone und dann 'sichern' müsste auch ohne Code-Eingabe funktionieren.
Zitieren
#6

Bei meinem ja. Es wurde sonst nicht erkannt. Allerdings zuletzte unter 4.3.x getestet. Da hat sich das iPhone erst nach Eingabe der Code Sperre verbunden. Teste gleich noch einmal.

Edith sagt:
So... getestet. Muss dann entweder ein Bug der iTunes 10.5.x sein oder des iOS 5.x. Wie bereits geschrieben unter 4.3.x hat sich das iPhone bei mir im gesperrten Zustand nicht mit iTunes verbunden.
Zitieren
#7

Naja, so schlecht finde ich die CB nun auch nicht. Zumindest erklärt sie vieles für "Otto-Normal-User" verständlich und das eine oder andere kostenlose Programm, wie z.B. TuneUp, ist auch nicht zu verachten.
Aber das hat ja alles nichts mit dem Thema zu tun.

Wie macht sich den diese Sicherheitslücke bei in der iCloud abgelegten Backups bemerkbar? Wenn mal diese Server gehackt werden würden, könnten die dort abgelegten Backups dann auch missbraucht werden?
Ich habe meine Backups ja nur auf meinem PC, ich habe eine Abneigung dagegen, meine Daten "irgendwo" abzulegen.
Zitieren
#8

also meiner erfahrung nach ist es blödsinn was die bild geschrieben hat.
Gerade vor ein paar Wochen erst den Fall gehabt: Kumpel hat seinen Code vergessen. Deswegen wollten wir es zurücksetzen, ging jedoch nicht, da iTunes uns immer wieder dazu aufforderte zuerst das iphone zu entsperren. Letztendlich mussten wir es in den DFU modus versetzen, um es überhaupt rücksetzen zu können. Backup konnten wir sowieso keines machen, da es ja in der Seitenleiste bei iTunes nichtmal aufschien.

iphone 4S
iOS 5.0.1
iTunes 10.5
Zitieren
#9

Wenn das Backup verschlüsselt ist, ist es für einen Datendieb wertlos. Es ist dann nicht mehr zu lesen oder zu analysieren.
Zitieren
#10

So, also mittlerweile kann ich trotz Code Sperre über iTunes auch die Apps ändern und synchronisieren. Das ging früher nicht.

@Tessa
Wenn du das Backup aus der iCloud auf ein iDevice spielen möchtest, muss dir die AppleID bekannt sein, sowie das dazugehörige Passwort. Auch bei einem Zugriff über PC / Mac. Wenn der Account gehackt wurde, dann kommt man natürlich auch an das Backup.
Zitieren
#11

Soweit ich weiß wird doch beim allerersten Kontakt eines gesperrten iphones mit einem Rechner der Code abgefragt. Wird das iphone dann entsperrt legt iTunes auf dem Rechner irgendeine Signatur mit der UDID dieses iphones an. Danach kann es jederzeit nochmal verbunden werden, egal ob gesperrt oder nicht.

Es muss also EINMALIG verbunden und entsperrt werden!
Zitieren
#12

Ich meine, dass man bei gesetzter Code-Sperre bei jedem Computer das iPhone einmal im "entsperrten" Zustand anschließen muss bzw. im "gesperrten" Zustand von iTunes aufgefordert wird, den Code am iPhone einzugeben und es so zu ensperren, und danach muss man das bei diesem iPhone und diesem Computer nie wieder machen. Soweit zumindest meine Erfahrung, die auf einer relativ geringen Anzahl von Beobachtungen basiert, da ich mein iPhone nur an relativ wenigen unterschiedlichen Computern anschließe. Wenn das stimmt, wäre jedenfalls der Einwand aus Beitrag #4 berechtigt.

Edit: What Asterix3 said... Kaffee
Zitieren
#13

mein iphone hat die codesperre und 5.0 drauf. an einem iTunes wo das iphone unbekannst ist, will iTunes erst das iphone entsperrt haben ehe der zugriff stattfinden kann. ergo kann auch kein backup angelegt werden.

[Bild: itunescodesperre.jpg]

das die codesperre fehlt wenn ich das iphone mit einem backup wiederherstelle ist schon immer so Zwinkern

:-)
Zitieren
#14

Ich glaube es geht aber darum dass man schon erstelle backups (von person A) auf ein iPhone von person B draufspielt und schon hat man alle daten.
Zitieren
#15

Das mag zwar auch ein Problem sein für Leute, die (a) ihre Backups nicht verschlüsseln und (b) sich das Backup vom Computer klauen lassen, aber die sind dann wirklich selbst schuld und vor allem geht es in dem Artikel von Computerbild nicht darum. Zwinkern
Zitieren
#16

Also auf einen fremden Rechner funktioniert das nicht wenn man eine Code Sperre hat da muss man vorher den Code eingeben damit es geht,ich habe auch einen Exchange Account,und somit habe ich immer eine Code Sperre außerdem sind meine Backups auf meinem Rechner verschlüsselt,und ausser mir hat niemand Zugriff auf meinen Rechner.
Zitieren
#17

Was will man von BILD auch anderes erwarten?
Zitieren
#18

Anders gesagt, "it's Not a Bug, it's a Feature".

Es erscheint logisch, dass iTunes bekannte Sicherungen auch auf andere Geräte wieder herstellt, die Sicherung muss von einem Benutzer "erlaubt" werden, durch das entsperren.

Wobei auch das der Grund ist, warum ein servicetechniker keine Datensicherung von einem iPhone erstellen kann...
Zitieren
#19

@Asterix3
Der Code wurde (zumindest früher) nirgendwo gespeichert.

@Deufel
So sah das bei mir sonst auch aus. Und zwar immer nicht nur beim ersten mal.
Zitieren
#20

Hallo,

iwi hab ich das Gefühl, dass einige Beiträge nicht vollständig lesen. CB macht eine Sicherung von Gerät A auf den Rechner A. Dieb klaut diese Sicherung vom RechnerA auf einen USB Stick. CB spielt die Sicherung auf einen anderen Rechner B, nimmt Gerät B und spielt darauf die geklaute Sicherung von A und hat somit alle Daten auf A UND B und das Ganze ohne einmal nach einem Code gefragt worden zu sein.

Das bedeutet, wer den Rechner ohne Passwortschutz zurück lässt, ist selbst schuld. Denn wenn ich die Gewalt über einen Rechner bekomme und ne Sicherung klauen kann, dann kann ich mir auch die Outlook.pst sichern und auf jedem anderen Rechner wieder installieren (Beispiel) und hab auch alle Daten.

Diese Geschichte ist für mich viel heiße Luft in der ein kühler Furz versteckt wurde.
Zitieren


Möglicherweise verwandte Themen…
Thema / Verfasser Antworten Ansichten Letzter Beitrag



Benutzer, die gerade dieses Thema anschauen: 7 Gast/Gäste