Stellungnahme von ElcomSoft zum Celebrity Leak
Moskau, 5. September 2014
Am 31. August 2014 wurden auf 4chan intime Bilder von ca. 100 amerikanischen Prominenten veröffentlicht. Inzwischen hat sich herausgestellt, dass die veröffentlichten Bilder mehrheitlich aus Apples iCloud stammten und über den Dienst Find my iPhone entwendet werden konnten.
Apple dementiert bisher, dass ein unberechtigter Zugriff auf die iCloud-Server stattgefunden hat und geht bislang davon aus, dass in großem Umfang Benutzerdaten und Passwörter der Prominenten ausspioniert wurden. Im Zuge der Ermittlungen wurden nun erstmals auch Details bekannt, wie diese Passwords ausspioniert werden konnten und wie anschließend die Daten von den Apple-Servern geladen wurden. An dieser Stelle wurden in den vergangenen zwei Tagen auch von Ermittler-Seite die Software EPPB genannt, die maßgeblich beteiligt gewesen sein soll. EPPB steht für 'Elcomsoft Phone Password Breaker' und ist eine forensische Software die den Zugang zu Online-Backups von iOS-, Blackberry- und Mobile Phone-Daten ermöglicht.
ElcomSoft möchte mit dieser Meldung klarstellen, wozu EPPB eingesetzt werden kann, wie EPPB möglicherweise hieran beteiligt war und welche Straftaten eben nicht mit EPPB begangen werden konnten.
Brute-Force-Attacke statt Hacking
Um Handys gegen Diebstahl und Verlust besser zu schützen, setzen viele Hersteller moderner Smartphones, so auch Apple, auf Online-Backups der Smartphone-Daten. Diese Backups liegen in der Regel - ohne Zugriff von außen - auf gesicherten Servern. Im Falle eines Handy-Verlusts lassen sich mit einem Ersatzgerät nach Eingabe des richtigen Passwords die gesicherten Daten wiederherstellen. Nach Angaben von Apple, ist es Hackern gelungen die Passwörter von vielen Prominenten ausfindig zu machen und sich mit den richtigen Passwörtern autorisierten Zugang zu den Backup-Dateien bei Apple zu verschaffen. Apple dementiert folglich, dass auf die iCloud-Server direkt eingebrochen werden konnte.
Nach bisherigem Kenntnisstand war keines der Produkte von ElcomSoft daran beteiligt, die Apple ID-Passwords ausfindig zu machen. Viel wahrscheinlicher ist eine simple Brute-Force-Attacke mit der die Zugangsdaten entwendet werden konnten.
EPPB geeignet um Online-Backups von iOS- und Blackberry-Geräten auszulesen
Unter normalen Umständen lassen sich mit erbeuteten Passwords die gespeicherten iCloud-Backups auf ein neues Handy zurückspielen. Mit EPPB von ElcomSoft lassen sich diese Backups für alle iOS-Geräte aber auch direkt auf einen Computer laden auf dem EPPB installiert ist. Voraussetzung dafür ist aber auch bei Verwendung von EPPB die Eingabe des korrekten Benutzer-Passwords.
In der forensischen Version des EPPB unterstützt die Software jedoch weitere Funktionen. Für Ermittlungsbehörden ist es oft erforderlich an die Backups heranzukommen, ohne über das zugehörige Passwort zu verfügen. So konnte für gewöhnlich bestimmte Hardware beschlagnahmt werden, nur das Smartphone selbst war nicht auffindbar oder aber das zugehörige Password im Klartext konnte nicht in Erfahrung gebracht werden. EPPB unterstützt daher auch die Verifikation mittels Authentifizierungs-Tokens, die in den beschlagnahmten Geräten zu finden sind. Ist auf einem Desktop-Computer beispielsweise iCloud Control Panel installiert, kann EPPB die auf dem Computer hinterlegten Tokens auslesen um mit ihnen auch Zugriff auf das Online-Backup des Smartphones zu erhalten. In der aktuellen Version von EPPB ist es jedoch noch erforderlich, Zugriff auf einen Computer zu haben, der im laufenden Betrieb bei iCloud Control Panel eingeloggt ist. Erst mit der nächsten Version der Software wird es möglich sein, diesen Token auch aus einem Disk-Image zu extrahieren.