image

Onderzoekers kraken iPhone-encryptie

donderdag 10 februari 2011, 15:18 door Redactie, 9 reacties

Een beveiligingsprobleem in de iPhone zorgt ervoor dat wachtwoorden op een verloren toestel eenvoudig zijn te achterhalen, zo hebben onderzoekers van het Fraunhofer Instituut ontdekt. Binnen zes minuten wisten de onderzoekers de encryptie van de iPhone te kraken en veel van de opgeslagen wachtwoorden te achterhalen. Als een iPhone voor zakelijke doeleinden wordt gebruikt, dan loopt ook de veiligheid van het bedrijfsnetwerk gevaar, zo laten de onderzoekers weten. De ontwerpfout is in alle iPhones en iPads met de laatste firmware aanwezig. "Alleen bedrijven die op zo'n aanval zijn voorbereid kunnen hun risico verkleinen."

Veel eindgebruikers en bedrijven denken dat de encryptie van de iPhone of iPad voldoende is, maar dit blijkt niet zo te zijn, merken de onderzoekers op. "We wisten de beveiligde apparaten in een korte tijd te kraken." Het was daarbij niet nodig om de 256-bit encryptie te kraken om toegang tot de in de keychain opgeslagen wachtwoorden te krijgen. Het volstond om de encryptie van de wachtwoorden in het Apple iOS aan te vallen. "Dit betekent dat de encryptie onafhankelijk is van het persoonlijke wachtwoord, dat eigenlijk de toegang tot het apparaat moet beschermen."

Jailbreak
Alle apparaten die iOS gebruiken zijn op deze manier aan te vallen. De aanval bestaat uit een aangepaste jailbreaking-techniek en de installatie van een SSH-server, waardoor de passcode volledig wordt omzeild. Het script van de onderzoekers ontsleutelt de keychain met behulp van functies die het besturingssysteem zelf aanbiedt. Sommige wachtwoorden blijven echter beschermd en sommige zijn alleen toegankelijk als de aanvaller de passcode weet. Gebruikers die een iPhone of iPad verliezen krijgen dan ook het advies om al hun wachtwoorden meteen te wijzigen.

Reacties (9)
10-02-2011, 16:33 door RichieB
De beveiliging van de iPhone is gekraakt (door de jailbreak), maar de encryptie niet zoals de titel vermeldt. Ze gebruiken gewoon een jailbreak om een ssh deamon en app te installeren. Die app gebruikt de iOS APIs om de wachtwoorden te achterhalen. Er wordt dus geen encryptie gekraakt.
10-02-2011, 16:39 door Anoniem
What about Android, Win mobile, nokia or blackberry?
10-02-2011, 18:25 door Bitwiper
Door RichieB: De beveiliging van de iPhone is gekraakt (door de jailbreak), maar de encryptie niet zoals de titel vermeldt. Ze gebruiken gewoon een jailbreak om een ssh deamon en app te installeren. Die app gebruikt de iOS APIs om de wachtwoorden te achterhalen. Er wordt dus geen encryptie gekraakt.
Klopt.

Maar het gaat m.i. nog steeds om een zeer serieuze issue, vooral omdat Apple nalaat gebruikers te informeren dat niet alle security-critcal gegevens met degelijke versleuteling worden opgeslagen.

Als ik de PDF (http://www.sit.fraunhofer.de/en/Images/sc_iPhone%20Passwords_tcm502-80443.pdf) goed begrijp kan een vinder/dief binnen 6 minuten van de volgende services de volledige toegangsgegevens uitlezen (voor zover de gebruiker daar accounts voor heeft):

Apple Push
Apple-token-sync (mobile me)
CalDav
Google Mail as MS Exchange Account
iChat.VeniceRegistrationAgent
LDAP
Lockdown Daemon
MS Exchange
Voicemail
VPN IPsec Shared Secret
VPN XAuth Password
VPN PPP Password
WiFi (Company WPA with LEAP)
WiFi WPA

De reden hiervoor is naar verluidt gebruiksgemak, namelijk dat iOS deze diensten ook kan gebruiken op het moment dat de iPhone/iPad (nog) vergendeld is.
10-02-2011, 18:53 door Bitwiper
Door Anoniem: What about Android, Win mobile, nokia or blackberry?
Out of the box waarschijnlijk vergelijkbaar (of erger, bijv. in het geval van WM 6.x).

Bovendien geldt voor elk device waarop alle data perfect versleuteld is, dat fysieke toegang in principe betekent dat je een memory dump kunt maken - zonder dat de CPU daarbij geactiveerd wordt en data kan wissen (een fabrikant kan dit wel heel moeilijk maken, maar in een goed lab kan veel). Op zo'n memory dump kun je een brute force aanval loslaten.

Kennen jullie mensen met smartphones die elke keer als ze er iets mee willen doen, een toegangscode invoeren met tenminste de moeilijkheidsgraad van een 12-karakter lang wachtwoord (dat niet in woordenboeken voorkomt en cijfers, leestekens alsmede kleine en grote letters kan bevatten)?

http://en.wikipedia.org/wiki/Password_crackingIn 2010, the Georgia Tech Research Institute developed a method of using GPGPU to crack passwords, coming up with a minimum secure password length of 12 characters.
Omdat mobile devices zo handig en populair zijn, negeren gebruikers en masse verstandige beveiligingsnormen en weigeren om de afweging te maken of het restrisico acceptabel is (wellicht omdat ze de uitslag van zo'n serieuze afweging op hun klompen aanvoelen).
10-02-2011, 19:23 door Anoniem
Encryptie is dus niet gekraakt.
Je hebt 'alleen' de beschikking over de passwords van (thnx 4 da list Bitwiper)

Apple Push
Apple-token-sync (mobile me)
CalDav
Google Mail as MS Exchange Account
iChat.VeniceRegistrationAgent
LDAP
Lockdown Daemon
MS Exchange
Voicemail
VPN IPsec Shared Secret
VPN XAuth Password
VPN PPP Password
WiFi (Company WPA with LEAP)
WiFi WPA

Je hebt echter geen toegang tot de encrypted files op het filesystem van iOS en de encrypted data files van apps.
Die zijn namelijk alleen te decrypten OP het device met een password wat niet in bovenstaand lijstje staat.
Voor de geïnteresseerden: Zie WWDC2010 session 209.

Maar dat maakt de FAIL niet minder EPIC. Deze passwrds zouden ook bij een JB niet te lezen moeten zijn.
10-02-2011, 20:18 door Anoniem
Wat mij stoort is dat er bar weinig officieel over de beveiligingsconstructie van iOS/iPad/iPhone bekend is. Het is nogal marketingpraat in de vorm van 'de ontwikkelaars van het apparaat doen aan veiligheid want er is een wachtwoord en encryptie te gebruiken'. Voor de rest heb ik nog geen duidelijkheid gezien in hoe het wachtwoord nou werkelijk wordt gebruikt en in hoeverre dat wat beschermt. Tot nu dan... het heeft geen zin om zo simpel in de marketingsuggestie van veiligheid te trappen. Denken/hopen dat encryptie en een wachtwoord voldoende is ter bescherming van vertrouwelijke gegevens is onvoldoende. Apple moet maar eens met bewijs komen wat die encryptie en toepassen van een wachtwoord voorstelt en al helemaal wat ook niet.
10-02-2011, 20:38 door Anoniem
Bitwiper, helemaal mee eens. Om even verder te gaan in dergelijke management acceptatievormen. "als iedereen er mee loopt zal het heus wel veilig zijn".
13-02-2011, 10:37 door spatieman
dat betekend dat een toestel wat NIET gejailbreaked is, nog veilig is.
13-02-2011, 15:02 door Bitwiper
Door spatieman: dat betekend dat een toestel wat NIET gejailbreaked is, nog veilig is.
Wat is er veilig aan als de vinder/dief het toestel jailbreaked (zoals beschreven door de onderzoekers) en zo aan die aanmeldgegevens komt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.