Elcomsoft Phone Breaker (EPB), ein Tool für die IT-Forensik, ist laut Hersteller in der neuen Version 7.0 in der Lage, Passwörter aus dem Cloud-Speicher von Apple, dem Icloud-Schlüsselbund, zu extrahieren und zu entschlüsseln. Damit ist EPB 7.0 laut dem russischen Security-Spezialisten die erste Forensiklösung, die Zugriff auf Passwörter und andere Informationen im Icloud-Schlüsselbund erlangen kann.

Die Daten werden laut Elcomsoft-Angaben direkt aus dem Icloud-Konto des Benutzers ausgelesen. Der Zugriff auf den Icloud-Schlüsselbund erfordere die Apple ID und das dazugehörige Passwort des Benutzers. Ist die Zwei-Faktor-Authentifizierung im Benutzerkonto aktiviert, sei der Zugriff auf ein vertrauenswürdiges Gerät notwendig, zusammen mit dem Geräte-Passcode (bei IOS-Devices) oder dem Systempasswort (bei einem Mac), das bereits mit dem Icloud-Schlüsselbund registriert wurde. Bei deaktivierter Zwei-Faktor-Authentifizierung müsse man eine Benachrichtigungsaufforderung auf einem der vertrauenswürdigen Geräte bestätigen und den Icloud Security Code des Benutzers eingeben.

Durch die Extraktion der gespeicherten Passwörter eines Benutzers aus dem Icloud-Schlüsselbund können sich Experten in die Online-Konten des Nutzers einloggen, auf seine Konten in sozialen Netzwerken zugreifen und Chats, Nachrichten und Posts extrahieren, erläutert Elcomsoft. Zudem eigneten sich gespeicherte Passwörter ausgezeichnet für den Aufbau benutzerdefinierter Wörterbücher für gezielte Brute-Force-Angriffe auf verschlüsselte Container, Archive und Dokumente des Nutzers.

Technischer Hintergrund
Elcomsoft erläutert den Hintergrund dieser Forensikneuerungen wie folgt: IOS und Mac OS implementieren einen systemweiten geschützten Speicher für sensible Informationen wie Web-Logins und Passwörter, Kreditkartendaten, WLAN-Kennwörter usw. Diese Elemente werden im Systemschlüsselbund gespeichert. Bei IOS-Geräten kann der Schlüsselbund in lokalen oder Cloud-Backups gespeichert und bei Bedarf wiederhergestellt werden.

Der forensische Zugang zum IOS-Schlüsselbund erweist sich aufgrund mehrerer Verschlüsselungsstufen als sehr schwierig, so Elcomsoft: Der in einer Icloud-Sicherung gespeicherte Schlüsselbund ist mit einem hardwarebasierten Encryption Key sicher verschlüsselt und nur auf dem Gerät wiederherstellbar, von dem er gespeichert wurde. Der forensische Zugriff auf hardwareverschlüsselte Schlüsselbunde ist außer bei wenigen Ausnahmen (ältere Geräte, Jailbreak) unmöglich. Für die Extraktion des Schlüsselbunds kann eine passwortgeschützte lokale Sicherung zum Einsatz kommen – ist jedoch die Sicherung mit einem langen, unbekannten Passwort geschützt, kann ein Brute-Force-Angriff erhebliche Zeit in Anspruch nehmen und sogar fruchtlos sein.

Zusätzlich zum lokalen Schlüsselbund bietet Apple einen Cloud-Passwortspeicher mit Synchronisationssystem: den Icloud-Schlüsselbund. Dieser Dienst synchronisiert die Passwörter des Benutzers über mehrere Geräte hinweg. Er bietet einen sicheren Speicher-, Authentifizierungs- und Synchronisationsmechanismus, sodass neu registrierte Geräte Zugriff auf Schlüsselbund-Elemente von bereits verwendeten Geräten des Benutzers erhalten können.

Der Icloud-Schlüsselbund ist durch mehrere Verschlüsselungsstufen geschützt, unter anderem durch branchenübliche Verschlüsselungstechnik, aber auch durch Zugriffsbeschränkungen der Vertrauenskette. Dieses System ist so sicher, dass bis jetzt der Zugang Dritter zum Icloud-Schlüsselbund unmöglich war, so Elcomsoft.

Der Hersteller betont, der Bitkom habe in seinem „Leitfaden zum Umgang mit dem Hackerparagrafen“ Elcomsofts Auffassung von der Legalität von Passwort-Wiederherstellungs-Tools bestätigt: Der IT-Branchenverband stufe solche Werkzeuge als „unbedenklich“ ein, sozusagen als digitales Pendant eines Schlüsseldienstes.

Elcomsoft Phone Breaker läuft unter Windows 7, 8, 8.1 und Windows 10 sowie den Server-Betriebssystemen Windows 2008, 2012 und 2016. Die Mac-Version läuft unter Mac OS X 10.7 und neuer. EPB erfordere keine Installation von Itunes oder Blackberry Link.

Erhältlich ist EPB 7.0 in den Versionen Home, Professional und Forensic. Zugriff auf die Icloud ist nur in den Professional- und Forensic-Editionen verfügbar. Der Forensic-Edition vorbehalten sind der passwortfreie Icloud-Zugang sowie die Möglichkeit, beliebige Informationen aus der Icloud und vom Icloud Drive herunterzuladen.

Elcomsoft Phone Breaker Professional ist für 199 Euro erhältlich, die Forensic-Edition mit Over-the-Air-Zugriff auf Icloud-Daten und Unterstützung binärer Authentifizierungs-Token für 799 Euro. Die Home-Edition kostet laut Herstellerpreisliste 79 Euro (alle Angaben zuzüglich Mehrwertsteuer).

Weitere Informationen finden sich unter www.elcomsoft.de.

 

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.