GreyKey: Was Sie über diesen iPhone Hacker wissen müssen und wie Sie sich schützen können

 

Polizei und andere Strafverfolgungsbehörden haben jetzt preiswerten Zugang zu einem Hacker, der innerhalb von Minuten die Passwörter für iPhone und iPad knacken kann. Erstmals Anfang März von Forbes, GrayKey, von einer Firma namens Grayshift gemeldet, ist für das schlüsselfertige Cracken von iOS-Passcodes gedacht.

Mitte März hat Malwarebytes das Gerät genauer untersucht und festgestellt, dass eine vierstellige PIN in ein paar Stunden geknackt werden könnte und eine sechsstellige PIN einige Tage benötigen würde.

Motherboard erweiterte diese Berichterstattung vor einigen Tagen mit weiteren Details darüber, wie GrayKey in diesem Bereich verwendet wurde. Und am vergangenen Montag veröffentlichte der Sicherheitsforscher Matthew Green eine Nachricht auf Twitter, in der er die theoretisch schnellste Crackzeit anhand der ihm bekannten Parameter darstellte, die das Thema wieder in den Vordergrund rücken ließen, da die Möglichkeit bestand, sechsstellige PINs noch schneller zu brechen.

GrayKey hat zwei Lightning-Stecker und benötigt iOS-Geräte für ungefähr zwei Minuten, nach denen das Knacken auf dem Gerät beginnt. Es ist derzeit nicht bekannt, welche Exploits das Unternehmen nutzt, um dieses On-Device-Feature zu erreichen, das auch eine Reihe von Passcode-Wiederholungs- und Wiedereintrittsverzögerungsstrategien deaktiviert, mit denen Apple vor Jahren begonnen hat. Sie können erwarten, dass Apple alle seine Winkel arbeitet, um das Exploit zu entdecken und es zu patchen, wie es für irgendwelche Techniken für jailbreaking iOS getan wird oder die Sicherheit in der Vergangenheit umgehen.

GreyKey: Was Sie über diesen iPhone Hacker wissen müssen und wie Sie sich schützen können Malwarebytes

GrayKey iPhone unlocker

Wenn Sie nicht in kriminelles, ziviles oder politisches Verhalten verwickelt sind, das Sie unter Strafverfolgung setzen könnte, Sie könnten denken, dass GrayKey für Sie nicht von Bedeutung ist, da Ihr Gerät niemals davon abhängig sein würde. Und in vielen Ländern, einschließlich der USA, können Gerichte Sie dazu zwingen, Informationen zur Verfügung zu stellen, um ein Gerät freizuschalten, mit Gefängnisstrafen, wenn Sie ebenfalls versagen, die bisher in Fällen, in denen dies aufgetreten ist, wirksam waren.

Aber die bloße Existenz von GrayKey bedeutet, es ist möglich, sogar wahrscheinlich, dass es andere Menschen gibt, die ähnliche Wege entdeckt haben, und dass, wenn Apple diesen Vektor nicht patcht, weniger polierte Geräte in der Hände von Kriminellen, sogar organisierte Syndikate, die dann gestohlene Telefone in einer Weise nutzen können, die sie vorher nicht haben konnten.

Was können Sie tun, um sich besser zu sichern, wenn Sie diese Schritte noch nicht gemacht haben? Wechseln Sie zu einer längeren PIN oder einem ausreichend langen und komplizierten Passwort und aktivieren Sie Find My iPhone / iPad. Hier, wie.

Wählen Sie einen stärkeren Passcode

Apple hat mit iOS 9 begonnen, sechsstellige PINs zu drucken, wahrscheinlich weil er wusste, wie schnell die richtige Software für Hardware und Telefonie vier Ziffer “ sperren. ” Es hat jedoch nicht dazu geführt, dass Besitzer älterer Geräte auf sechs Ziffern aktualisiert werden, und Sie können nach dem Einrichten einer längeren PIN auf vier Ziffern zurückstufen.

Die Leichtigkeit, mit der GrayKey eine sechsstellige PIN knacken kann, bedeutet, dass sie nicht mehr sicher genug sind. Eine siebenstellige PIN würde sich über Tage bis Wochen erstrecken, und eine achtstellige PIN würde diese Zahl auf einige Wochen oder einige Monate verlängern.

Der Sicherheitsforscher Green empfiehlt eine noch längere numerische PIN, weil er wie eine Telefonnummer gespeichert werden kann. (Bitte wählen Sie jedoch nichts aus, das wie eine Telefonnummer aussieht.) Eine 10-stellige PIN würde durchschnittlich mehr als ein Jahrzehnt dauern, um mit einem On-Device-Tool durchschnittlich zu knacken, so seine Berechnungen.

Ich empfehle die Verwendung von Diceware oder einem ähnlichen Ansatz, bei dem für einen Satz von Wörtern gerollt oder ein Generator verwendet wird, die wahrscheinlich nicht zusammen erscheinen und genug Länge ergeben, um Brute-Force-Cracking wie dieses zu überwinden Ich habe gerade generiert:   abgewrackt-widerlegen-gepanzert-Uhr-stinkig. (Die Zeit, die auf der für Diceware verlinkten Seite geknackt wird, ist das generische Offline-Knacken von Passwörtern, nicht die GrayKey-Methode, die wesentlich langsamer ist.)

Viele Sicherheitsexperten empfehlen lange Passphrasen, die Wörter enthalten, weil sie ’ Es ist wahrscheinlicher, dass es auswendig gelernt wird, und wörterbuchbasierte Cracking-Tools, sogar solche, die Frequenzanalyse und andere Prädiktoren für Wörter verwenden, um zusammen zu erscheinen, helfen nicht bei unwahrscheinlichen Kombinationen.

Diese sind mühsamer zu betreten — meins ist über 20 Zeichen und hat einige Satzzeichen, die die Wörter trennen, aber sie sind leichter zu behalten und können sehr stark sein. Ich verlasse mich auf die Passwort-Generator-Funktion von 1Password, um diese zu erstellen, aber viele Passwort-Safes und andere Tools können wortbasierte lange Passwörter erstellen. Verwenden Sie keine gebräuchlichen Ausdrücke oder gebräuchliche Wörter mit einigen hinzugefügten Zahlen oder Satzzeichen.

Basierend auf der Funktionsweise von GreyKey scheinen komplexere Angriffe, die massive Wörterbücher benötigen, nicht möglich zu sein, da das Tool auf dem iOS-Gerät ausgeführt wirdf. Das könnte sich natürlich ändern.

So legen Sie Ihr Passwort in iOS fest

GreyKey: Was Sie über diesen iPhone Hacker wissen müssen und wie Sie sich schützen können Mit IDG

Passwortoptionen ändern können Sie einen längeren numerischen Code auswählen oder zu einem Zeichen mit beliebigen Zeichen wechseln.

Hier erfahren Sie, wie Sie einen längeren Passcode oder eine Marke aus Wörtern und Satzzeichen einstellen:

  • Starten Sie Einstellungen und tippen Sie auf Passcode oder Touch ID & Passcode oder – Gesichts-ID & Passwort
  • Geben Sie Ihr aktuelles Passwort ein.
  • Tippen Sie auf Passwort ändern.
  • Tippen Sie auf Passwortoptionen.
  • Tippen Sie bei einem längeren numerischen Code auf Benutzerdefinierter Zahlencode. Tippen Sie für diejenigen mit mehr als nur Zahlen auf Benutzerdefinierten alphanumerischen Code.
  • Geben Sie den neuen Code ein und bestätigen Sie ihn.

Apple hat einen zusätzlichen Touch ID-Ablaufzeitraum von sechs Tagen eingeführt, zusätzlich zu den bestehenden Passcode-Zugangsanforderungen vor mehr als zwei Jahren. Wenn Sie Ihr Passwort aus irgendeinem Grund, einschließlich des Neustarts Ihres Geräts, für mehr als sechs Tage nicht eingegeben haben, werden Sie nach acht Stunden, in denen das Telefon nicht mit einer Touch-ID entsperrt wurde, dazu aufgefordert. Für viele Menschen wird das am Morgen passieren.

Aktivieren Sie Mein iPhone / iPad suchen

Apple hat eine Aktivierungssperre in iOS 7 hinzugefügt, die Find My iPhone (auf diesen Geräten mit „Mein iPad suchen“) mit Ihrem iCloud-Konto verbindet. Selbst wenn ein iOS-Gerät gelöscht wird, kann es, solange „Mein iPhone suchen“ aktiv war, nicht erneut verwendet werden, ohne dass auf das Passwort des iCloud-Kontos zugegriffen werden muss.

Auch wenn Sie vielleicht denken, dass der geknackte Code Ihres Telefons genug Schaden verursachen würde, weil jemand dann Zugriff auf alles auf Ihrem Gerät erhalten könnte, kann Find My iPhone zwei Dinge bieten.

GreyKey: Was Sie über diesen iPhone Hacker wissen müssen und wie Sie sich schützen können IDG

Finden Mein iPhone ermöglicht es, ein Gerät aus der Ferne zu löschen und den Nutzen des Wiederverkaufs zu reduzieren, indem es Kriminelle davon abhält, Zugang zu knackender Hardware zu erhalten.

Zuerst können Sie mit „Mein iPhone suchen“ markieren, dass das Gerät gelöscht werden soll. Dies geschieht entweder sofort, wenn das iOS-Gerät mit dem Internet verbunden ist oder wenn es das nächste Mal online geht. Ich gehe davon aus, dass GrayKey Methoden hat, um zu verhindern, dass das Gerät auch nach dem Cracken auf das Internet zugreift, aber das ist nicht nützlich für diejenigen, deren Absicht es weiterverkauft. Und sie können einen Fehler machen.

Zweitens bedeutet die Aktivierungssperrfunktion, dass selbst wenn das Telefon oder Tablet gelöscht wird, es nicht zurückgesetzt und weiterverkauft werden kann. Das mag wie ein falscher Sieg für Sie erscheinen, denn Ihre Hardware befindet sich immer noch in den Händen anderer. Aber es schreckt den Diebstahl im Allgemeinen ab, und jeder Verbrecher oder Bande, der Werkzeuge wie die im GrayKey verwendet, um Telefone zu knacken, wird schnell daran erinnert, dass dort ein kleines Dienstprogramm darin besteht, Bargeld zu extrahieren.

Um diesen Artikel und andere Inhalte von Macworld zu kommentieren, besuchen Sie unsere Facebook-Seite oder unseren Twitter-Feed.

q , quelle

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.