Mit iOS 7 hat Apple eine ganze Reihe von Verschlüsselungsfunktionen eingeführt, vor allem Unternehmen sollten dadurch mehr Vertrauen zu iOS fassen. Allerdings scheint der Konzern bei der Integration etwas schlampig vorgegangen zu sein: Sicherheitsexperten des Heilbronner Unternehmens Cirosec haben sich ein iPhone 4 mit iOS 7 vorgenommen und untersucht, welche Bereiche wirklich verschlüsselt sind. Die vorgetäuschte Attacke geht dabei davon aus, dass der Angreifer das iPhone komplett in seiner Kontrolle hat, etwa nach Verlust oder Diebstahl. Entsprechend können die Forscher das so genannte Limera1n-Exploit nutzen.
Ergebnisse
Die Untersuchung ergab, dass große Bereiche von iOS 7 nicht verschlüsselt werden. Dazu gehören interne Apps, darunter SMS/iMessage, die Kontakte, Kalender, Aufgaben, Erinnerungen, Notizen, gespeicherte Bilder und Videos oder der Zwischenspeicher der virtuellen Tastatur. Mit etwas technischem Know how kann ein Angreifer also zahlreiche Daten aus einem entwendeten iPhone erhalten - darunter sensibelste Informationen.
Interessant ist, dass etwa Screenshots sowie E-Mails (bei einer Exchange-Nutzung) verschlüsselt abgelegt sind. Insgesamt scheint es so, als würden vor allem Dritthersteller von den Verschlüsselungsfunktionen Gebrauch machen. Skype oder Facebook beispielsweise verschlüsseln alle wichtigen Informationen - allerdings nur, wenn die Apps nach dem Update auf iOS 7 neu installiert werden. Der komplette Bericht kann hier als PDF heruntergeladen werden.
Minimierung der Angriffsfläche
Apple geht mit der Verschlüsselung einen Schritt in die richtige Richtung - allerdings fehlt die konsequente Umsetzung. Für Unternehmen ist es daher wichtig, die Angriffsfläche so gering wie möglich zu halten. Dazu gehört in jedem Fall eine Strategie für verlorene und gestohlene Geräte (egal ob iPhone, Android, Windows Phone oder Blackberry). Diese müssen idealerweise innerhalb kürzester Zeit lokalisiert und/oder komplett gelöscht werden können. Glücklicherweise sind diese Funktionen normalerweise Bestandteil der Management-Lösungen für mobile Systeme.