iOS 10: Datensammlung und knackbares Backup

Apples iOS 10 ist erst ein paar Wochen draußen und hat bereits erste Probleme und ein erstes Update erlebt. Und es zieht so einiges an Kritik auf sich. So ist die Backup-Funktion wohl bezüglich der Verschlüsselung geschwächt worden. Und iOS 10 sammelt Nutzerdaten. Nachtrag: iMessage: Apple speichert Verbindungsdaten für 30 Tage.


Anzeige

iOS 10 und die geschwächte Backup-Verschlüsselung

Auch bei iOS 10 kann der Nutzer Backup per iTunes anfertigen und lokal speichern. Um ein Auslesen vertraulicher Informationen zu verhindern, werden die Backups verschlüsselt. Wie in diesem Artikel nachzulesen ist, hat Apple aber die Verschlüsselung wohl gravierend geschwächt. Der russischen Firma ElcomSoft ist das aufgefallen. Bis iOS 9 wurde PBKDF2 SHA-1 mit 10.000 Iterationsschritten zur Verschlüsselung verwendet. In iOS 10 hat Apple dann bei der Verschlüsselung auf SHA256 mit einer einzigen Iteration gesetzt. Dies ermöglicht Angreifern das Passwort zum Entschlüsseln per Brute Force-Angriff auf iPhones zu knacken. Der Aufwand ist dabei, laut diesem Artikel bis zu 2.500 mal weniger aufwändig als bei den vorherigen iOS-Versionen. Und das nur, weil iOS 10 auf verschiedene Sicherheitsprüfungen verzichtet.

iOS 10: Differential Privacy-Datensammlung

Es ging die Tage durchs Web – heise.de berichtete hier: Apple erfasst unter iOS 10 Daten von Millionen Benutzern. Darunter fallen auch Tastatureingaben oder aufgerufene Webseiten. Die Daten sollen zur Verbesserung des Produkts und der Dienstleistungen durch Apple erhoben werden. Auf der WWDC 2016 stellte Apple den Ansatz vor und gab an, die gesammelten Daten durch “Differential Privacy” so manipuliert würden, dass eine Rückverfolgung des Benutzers unmöglich werde (siehe diesen heise.de-Artikel). Auch sollte das Ganze nur als Opt-In möglich sein.

Wie heise.de in diesem Artikel schreibt, werden Benutzer, die früher bereits der Nutzung solcher Daten zugestimmt haben, beim iOS 10-Upgrade automatisch in den Kreis der “Datenlieferanten” aufgenommen. Ein neues Opt-in erfolgt nicht mehr. Die Hinweise auf die Erfassung der Diagnose- und Nutzungsdaten sind wohl tief in iOS 10 vergraben. So bekommt man die Info nur, wenn iOS 10 auf Englisch eingestellt ist, unter Diagnose & Nutzung angezeigt. Zwischenzeitlich fordern US-Bürgerrechtler von Apple Details zu den unter iOS 10 erfassten persönliche Daten, wie heise.de hier schreibt.

Interessant ist, dass die iOS-Geräte wohl recht heftig nach Hause telefonieren, wie ich aus diesem Kommentar schließe. Dürfte schmale Datenvolumina arg belasten. Hier fällt mir nur “von Microsoft lernen, heißt Daten erfassen lernen” ein. Die US-Unternehmen sind so was von deutschem Datenschutz entfernt, dass wir noch viel Spaß mit zukünftigen Produkten haben dürften.

Nachtrag: iMessage: Apple speichert Verbindungsdaten

Gerade ist bekannt geworden, dass Apple die Verbindungsdaten (Meta-Daten) seiner iMessage-App für 30 Tage speichert und auch an Behörden herausgibt (wenn diese eine richterliche Anordnung vorlegen). Hier und hier und wird das Ganze thematisiert – aber das ist eigentlich nichts Neues, da Apple dies öffentlich kommuniziert.


Anzeige


Dieser Beitrag wurde unter iOS abgelegt und mit Datensammlung, Differential Privacy, iOS 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu iOS 10: Datensammlung und knackbares Backup


  1. Anzeige
  2. Ben sagt:

    Krass, nur eine einzige Iteration?!

    Das ist ja augenscheinlich wirklich vorsätzlich. Immerhin kann man werben mit
    “Jetzt mit modernem Hash-Algorithmus”… *kopfschüttel*

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.