Sie sind hier: Startseite » Fachartikel » Hintergrund

Daten aus der iCloud extrahieren


Extraktion von Daten aus einem iCloud-Backup ist nicht trivial
Zwölf Jahre IT Forensik versus IT Security


Zwölf Jahre ist es her, seit ElcomSoft erstmals iCloud-Backups direkt von Apple herunterladen und die Daten auslesen konnte. Während die einen sagten, dass es keine große Leistung sei, mit dem richtigen Passwort Daten aus einem Online-Backup zu laden, fühlten sich andere in ihrer Auffassung bestätigt, dass Cloud-Speicher ein unkalkulierbares Sicherheitsrisiko seien. Aber beide Sichtweisen waren damals schon stark vereinfacht und sind heute schlicht falsch.

Nach der Logik von Apple ist ein iPhone-Backup in der iCloud dazu gedacht, dieses iPhone mit allen Daten auf einer neuen Hardware wiederherzustellen. Selbst mit den richtigen Zugangsdaten bietet Apple keine Möglichkeit auf Bilder, Passwörter, Dokumente, Browser-History oder andere Dateien im iCloud-Backup zuzugreifen. Will man auf die im iCloud-Archiv gespeicherten Daten zugreifen, müsste man das ganze Backup auf ein neues iPhone einspielen und könnte im Anschluss regulär über iOS auf die Daten zugreifen. Und Apple ist nicht gerade dafür bekannt, es Nutzern leicht zu machen, ungehindert und ungefiltert auf Dateien zugreifen zu können, die nicht explizit vom Nutzer erstellt wurden.

Es war daher damals schon eine kleine Sensation und ein echter Mehrgewinn, dass ElcomSoft alle Daten des iCloud-Backups direkt aus dem Backup entschlüsseln konnte. Konnte man sich gegenüber der iCloud legitimieren, kam man über ElcomSoft-Lösungen direkt an alle Daten heran. Aber das war 2012. Seitdem ist Apple nicht untätig geblieben.

In vier Schritten - Apple bessert nach

Schritt 1, die Zwei-Faktor-Authentifizierung:
Ziemlich überhastet und für Apple-Verhältnisse recht unausgegoren wurde 2013 eine Art zweistufige Verifizierung implementiert. Eine richtige Zwei-Faktor-Authentifizierung wurde erst 2015 vorgestellt. Maßgeblicher Treiber dürfte auch das als Celebgate bekannt gewordene Leak von 2014 gewesen sein, wo große Mengen privater Daten von Prominenten veröffentlicht wurden, die sich in Backups von Mobiltelefonen befanden. Inzwischen sind ca. 95 % der Apple-Accounts mit 2FA geschützt. Kein großes Hindernis, wenn man bedenkt, dass Firmen und Behörden in der Regel auch Zugriff auf die entsprechenden SIM-Karten haben.

Schritt 2, die Ende-zu-Ende-Verschlüsselung: Zwar sind die Daten in der iCloud verschlüsselt, aber erst eine echte E2E-Verschlüsselung schafft die Gewissheit, dass auch Apple selbst die Daten nicht einsehen kann. Anfangs diente der Passcode des iPhones gleichzeitig auch als Key um die Daten auf den Apple-Servern zu verschlüsseln. Nun bietet der Passcode nicht gerade das Maximum an Sicherheit gegen Brute-Force-Attacken und noch dazu wurde nur ein Teil der Daten mit dem Passcode E2E-verschlüsselt. Stand 2020 wurden beispielsweise SMS, Sprachnachrichten und Daten von Apple Maps verschlüsselt, Mails, WLAN-Kennwörter und Daten von Apple Wallet aber nicht.

Schritt 3, Advanced Data Protection: Der echte Durchbruch erfolgte erst Ende 2022 mit dem neuen Feature Advanced Data Protection for iCloud. Hier hat Apple eine echte, starke und sichere E2E-Encryption nachgerüstet. Auch zwei Jahre später ist noch kein Exploit bekannt. Insofern ist es zum jetzigen Zeitpunkt auch schwierig zu beurteilen, was genau Advanced Data Protection anders macht als eine klassische E2E-Encryption.

Schritt 4, Third-Party-Apps und iOS 17: Der letzte Schritt erfolgte mit Einführung von iOS 17. Hier hat Apple zusätzliche Hürden implementiert, um den Zugriff von Fremdsoftware auf die iCloud zu erschweren. In der Praxis gibt es in der Tat einige Fälle, bei denen die Extraktion von iOS 17-Backups fehlschlägt, aber zumindest der Zugriff auf synchronisierte Daten funktioniert selbst bei iOS 17 weiterhin problemlos.

Apple speichert mehr als angenommen
Ein Problem für sicherheitsbewusste Nutzer ist zudem, dass sich regelmäßig mehr Daten in einem iCloud-Backup befinden, als dem Nutzer bekannt sein dürfte und sogar mehr, als offiziell von Apple zugegeben wurde. 2016 wurde bekannt, dass Apple unbemerkt die Anrufhistorie sichert, 2017 dann, dass Apple die Browser-History auch dann sichert, wenn sie lokal gelöscht wurde. Überhaupt ist es ein Trend von Apple, mehr und mehr Daten in der Cloud zu sichern. Kritisch zu sehen ist natürlich, dass der Trend schon lange vor einer starken E2E-Verschlüsselung begann. Und selbst als E2E-Verschlüsselung eingeführt wurde, wurde nur ein Teil der Daten überhaupt verschlüsselt. In der Konsequenz waren sehr lange sehr viele Daten teils auch gegen den Willen des Nutzers online gespeichert mit nur mäßigem Schutz.

Forensischer Zugriff ist ergiebiger als der legale Zugriff
Natürlich bietet Apple Behörden auch legale Möglichkeiten Zugriff auf die Daten zu erhalten. Der Antrag dazu ist bis heute ein Word-Dokument zum Download auf der Website von Apple: gle-inforequest.docx. Der Nachteil ist nur, dass Apple ausschließlich Zugriff auf die Daten gewährt, die nicht E2E-verschlüsselt sind. Also selbst wenn Strafverfolgungsbehörden einen richterlichen Beschluss vorweisen können, erhalten sie von Apple keine verschlüsselten Daten, auch dann nicht, wenn diese Verschlüsselung wie im Falle des Passcode kein unüberwindbares Hindernis darstellt. Im Ergebnis muss man konstatieren, dass IT-forensische Lösungen sich auch für offizielle Stellen als effektiver erweisen als auf die Kooperation mit Apple zu setzen.

Direkter Zugriff auf das Dateisystem mit Elcomsoft iOS Forensic Toolkit
Auch wenn ElcomSoft immer noch mit der Advanced Data Protection kämpft, gibt es trotzdem Möglichkeiten an die Daten zu gelangen. Der klassische Ansatz ist das iOS Forensic Toolkit. Hiermit bietet ElcomSoft verschiedene Möglichkeiten sich per Sideloading direkten Zugriff auf ein physisches iOS-Geräts zu verschaffen. Dies schließt einen Low-Level-Zugriff auf das Dateisystem mit ein und liefert selbst entschlüsselte Keychains zurück. (ElcomSoft: ra)

eingetragen: 30.07.24
Newsletterlauf: 19.09.24

Elcomsoft: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Auf dem Weg zum klimaneutralen Rechenzentrum

    ESRS, CSRD, EnEfG … um die verschiedenen gesetzlichen Nachhaltigkeits-Regularien zu erfüllen, benötigen Betreiber von Rechenzentren mehr Transparenz über den Energieverbrauch und die Treibhausgas-Emissionen ihrer IT-Infrastruktur.

  • Dokumentenmanagement und elektronische Signatur

    Damit Unternehmen nicht nur zeitgemäß, sondern auch zukunftsträchtig arbeiten, ist eine Digitalisierung ihrer Geschäftsprozesse unumgänglich. Viele manuelle und behäbige Abläufe lassen sich mit einem digitalen Dokumentenmanagement optimieren. Es gilt, Aufgaben und Dokumente digital zu organisieren und Abläufe so weit wie möglich zu automatisieren.

  • Daten aus der iCloud extrahieren

    Zwölf Jahre ist es her, seit ElcomSoft erstmals iCloud-Backups direkt von Apple herunterladen und die Daten auslesen konnte. Während die einen sagten, dass es keine große Leistung sei, mit dem richtigen Passwort Daten aus einem Online-Backup zu laden, fühlten sich andere in ihrer Auffassung bestätigt, dass Cloud-Speicher ein unkalkulierbares Sicherheitsrisiko seien. Aber beide Sichtweisen waren damals schon stark vereinfacht und sind heute schlicht falsch.

  • Digital Twin der Lieferkette

    Fällt das Wort Lieferkettensorgfaltspflichtengesetz (LkSG), schießt einem meist zeitgleich der Begriff Transparenz in den Kopf. Denn darum geht es doch, oder? Auch! Aber nur Transparenz über die eigene Lieferkette zu erhalten, bringt erstmal wenig. Der Trick ist, zeitgleich eine flexible, optimierte Lieferkette anzustreben - sowohl operativ als auch strategisch.

  • Was bedeutet IT-Automatisierung?

    Eine neue Anwendung zur unternehmensinternen Kommunikation soll auf den PCs aller Mitarbeitenden installiert werden? Eine Routine-Aufgabe für die IT-Abteilung, die das Personal bei einem mittelständischen Unternehmen mit rund 100 Mitarbeitenden manuell umsetzen könnte. Beim Besuch jeder Kollegin und jedes Kollegen am Schreibtisch oder per Remote-Zugriff auf den PC wäre die Applikation, je nach Personalstärke, innerhalb von Stunden überall installiert.

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen