Een beveiligingsprobleem in de iPhone zorgt ervoor dat wachtwoorden op een verloren toestel eenvoudig zijn te achterhalen, zo hebben onderzoekers van het Fraunhofer Instituut ontdekt. Binnen zes minuten wisten de onderzoekers de encryptie van de iPhone te kraken en veel van de opgeslagen wachtwoorden te achterhalen. Als een iPhone voor zakelijke doeleinden wordt gebruikt, dan loopt ook de veiligheid van het bedrijfsnetwerk gevaar, zo laten de onderzoekers weten. De ontwerpfout is in alle iPhones en iPads met de laatste firmware aanwezig. "Alleen bedrijven die op zo'n aanval zijn voorbereid kunnen hun risico verkleinen."
Veel eindgebruikers en bedrijven denken dat de encryptie van de iPhone of iPad voldoende is, maar dit blijkt niet zo te zijn, merken de onderzoekers op. "We wisten de beveiligde apparaten in een korte tijd te kraken." Het was daarbij niet nodig om de 256-bit encryptie te kraken om toegang tot de in de keychain opgeslagen wachtwoorden te krijgen. Het volstond om de encryptie van de wachtwoorden in het Apple iOS aan te vallen. "Dit betekent dat de encryptie onafhankelijk is van het persoonlijke wachtwoord, dat eigenlijk de toegang tot het apparaat moet beschermen."
Jailbreak
Alle apparaten die iOS gebruiken zijn op deze manier aan te vallen. De aanval bestaat uit een aangepaste jailbreaking-techniek en de installatie van een SSH-server, waardoor de passcode volledig wordt omzeild. Het script van de onderzoekers ontsleutelt de keychain met behulp van functies die het besturingssysteem zelf aanbiedt. Sommige wachtwoorden blijven echter beschermd en sommige zijn alleen toegankelijk als de aanvaller de passcode weet. Gebruikers die een iPhone of iPad verliezen krijgen dan ook het advies om al hun wachtwoorden meteen te wijzigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.