Vingerafdruk-aanval omzeilt Find My iPhone-feature
Duitse onderzoekers hebben een aanval gedemonstreerd waarbij de vingerafdruklezer van Apple's nieuwe iPhone 5S kan worden gebruikt om de Find my iPhone feature uit te schakelen, die eigenaren van een verloren of gestolen toestel in staat stelt om het apparaat op afstand te wissen.
In een video op YouTube laten de onderzoekers van Security Research Labs zien hoe ze de Airplane Mode op een "gestolen" iPhone kunnen inschakelen. Daardoor is het niet meer mogelijk voor de legitieme eigenaar om via Find my iPhone het toestel te wissen, aangezien het niet meer met het internet verbonden is.
De volgende stap is het namaken van de vingerafdruk aan de hand van de vingerafdrukken die op de iPhone zelf zijn te vinden. De onderzoekers demonstreren dat dit inderdaad mogelijk is, zoals onlangs ook al door een andere Duitse hacker werd aangetoond. Met de nep-vingerafdruk kunnen de onderzoekers op het toestel inloggen.
Reset
Vervolgens kunnen de onderzoekers via iCloud het Apple ID wachtwoord resetten. Aangezien de resetlink op het e-mailaccount op de iPhone binnenkomt, moet er kort met het internet verbinding worden gemaakt. Dit is echter niet lang genoeg om de uitstaande wisopdracht uit te voeren die de oorspronkelijke eigenaar had gegeven. Met de resetlink kunnen de onderzoekers de iPhone uit de iCloud van de eigenaar verwijderen en die aan een ander account toe kennen.
Aangezien de wisopdracht nog steeds uitstaat wordt die uiteindelijk uitgevoerd zodra het toestel langere tijd met het internet verbonden is. De onderzoekers merken op dat het nog steeds mogelijk is om een back-up van de oorspronkelijke eigenaar via iCloud terug te zetten, zodat ze ook toegang tot zijn andere accounts op het toestel kunnen krijgen.
Airplane Mode
Om deze aanval te voorkomen krijgt Apple het advies de Airplane Mode niet vanuit het vergrendelingsscherm toegankelijk te maken en een pincode te vereisen elke keer dat de Airplane Mode wordt geactiveerd of de simkaart wordt verwijderd. Daarnaast moet Apple gebruikers tijdens het aanmaken van een Apple ID waarschuwen om inloggegevens voor het resetten van accounts niet op het toestel te bewaren.
Dat beginscherm staat dus gewoon teveel apps toe die te diep op je telefoon ingrijpen! Wellicht zal niet elk iPhone boefje meteen proberen om de iPhone te kraken, maar alleen terug naar fabrieksinstellingen is genoeg om 'm te verkopen. En als je net na de diefstal snel de Flight mode inschakelt voorkom je dus nare achtervolgingen zoals in de Rotterdamse metro onlangs
misschien is je hand er wel vanaf, is jouw telefoon stuk en pak je de telefoon van je medeslachtoffer (scenario's).
Punt gaat niet dat het een bron zou kunnen zijn van toegangsgaten, gaat erom dat er geen gaten moeten zijn! De functie moet blijven (vooral omdat het bij wet verplicht is) maar nu eens goed geïmplementeerd worden!
@Security Research Labs: Well done! Daar kan ik nu van genieten! (gebruik toch geen Iphone's)
Wat is geklungel? Ik geef toe dat het slordig is om flightmodus uit te kunnen schakelen vanaf het lockscreen. Maar anderzijds zodra je de telefoon blokkeerd in Icloud blijft deze geblokkeerd. Zodra je telefoon gejat word, is het eerste wat je doet je wachtwoorden veranderen.
1. email wachtwoord veranderen
2. facebook en linkedin account resetten
3. find my iphone app activeren. Icloud account wachtwoord resetten.
112 of 911 vanaf het lockscreen moet er zeker weten inblijven, Op het moment dat er wat met mij gebeurd moet iemand of ikzelf zonder nadenken meteen een noodoproep kunnen plaatsen.
wat niet meer is dat een verkoopargument, maar verder volstrekt waardeloos is.
Het is Apple's nooit zijn sterkste punt geweest, Secrurity.
Het geluk van Apple is dat ze op een BSD achtige platform draaien en daardoor buitenschot bleven voor malware en virusen.
Apple heeft er voor gekozen om de gebruiker zelf de mogelijkheid te laten kiezen tussen veel security of meer gemak en dus minder security.
Lees eens een paar artikelen hierover op bijvoorbeeld imore.com
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.