Onderzoeker: Gegevens met iOS 8 nog niet buiten bereik politie
Met de introductie van iOS 8 heeft Apple ervoor gezorgd dat gegevens op het toestel standaard versleuteld zijn, maar dat wil nog niet zeggen dat ze helemaal buiten het bereik van politie of opsporingsdiensten zijn, zo waarschuwt beveiligingsonderzoeker Jonathan Zdziarski.
Het probleem is dat bepaalde services nog steeds toegang tot de media-folder op het toestel kunnen krijgen, ook al is het apparaat vergrendeld. Dit gebruiksgemak zorgt er volgens Zdziarski ook voor dat opsporingsdiensten informatie zoals opnamen, video's, foto's, podcasts, boeken, andere iTunes-media en alle third-party applicatiegegevens kunnen dumpen.
De onderzoeker testte dit met zijn eigen forensische tools en stelt dat hij alle third-party applicatiegegevens kon dumpen, waaronder caches, databases en screenshots, alsmede foto's en andere media. Om dit mogelijk te maken moet een aanvaller of opsporingsdienst wel over een "trusted pairing record" op een desktop of laptop beschikken die met de iPhone is gekoppeld. Daarnaast is vanaf iOS 8 ook fysieke toegang tot het toestel noodzakelijk.
Maatregelen
Gebruikers kunnen echter maatregelen nemen om deze aanvalsvector uit te schakelen, gaat Zdziarski verder. Het uitschakelen van de iPhone, bijvoorbeeld op een vliegveld, zorgt ervoor dat pairing records niet in staat zijn om de iPhone te ontgrendelen als die is uitgeschakeld. "De pairing record-kwetsbaarheid werkt alleen als je je telefoon hebt gebruikt sinds die opnieuw is opgestart", zo laat de onderzoeker weten.
Daarnaast adviseert hij om sterke encryptie op desktops en laptops te gebruiken en ervoor te zorgen dat als gebruikers op reis of vakantie gaan de computer die ze meenemen volledig is uitgeschakeld. Al met al is Zdziarski zeer te spreken over de beveiligingsmaatregelen die Apple in iOS 8 genomen heeft. Hij is het dan ook niet eens met sommige critici die stellen dat Apple het lastiger voor politie maakt om hun werk te doen.
"Als je de beveiliging verzwakt om forensisch onderzoek mogelijk te maken, verzwak je het voor iedereen en open je de deur voor buitenlandse overheden en cybercriminelen om iedereen aan te vallen", stelt de onderzoeker. Volgens Zdziarski is het juist in het belang van privacy en veiligheid om producten zo veilig mogelijk te maken. "En laat goed detectivewerk misdaad oplossen, in plaats van een eenvoudige druk op de knop."
dat hebben de hollywood-digibeten wel bewezen.
En vervolgens eisen ze op het vliegveld dat je bewijst dat je laptop of tablet niet gevuld is met C4 door hem aan te zetten.
Peter
En vervolgens eisen ze op het vliegveld dat je bewijst dat je laptop of tablet niet gevuld is met C4 door hem aan te zetten.
Peter
Met andere woorden, dan heb je dus de encryptie sleutel reeds gestolen. Dat wil dus zeggen, dat als je de encryptie sleutel in handen hebt dat je de beveiligde data kunt decrypten, vrij logisch...
geen telefoon en of laptop mee nemen op vakantie, probleem opgelost.
je gaat immers op vakantie, en wilt niet bereikbaar zijn voor je werkgever.
en als je bereikbaar wilt zijn, gebruik je een dumbass toestel waar je alleen mee kan bellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.