image

Forensische tool gebruikt jailbreak om iPhone-data te verkrijgen

woensdag 4 december 2019, 14:52 door Redactie, 0 reacties

Softwarebedrijf Elcomsoft heeft de software om iPhones forensisch mee te onderzoeken voorzien van de recent verschenen checkra1n-jailbreak. Hiermee is het mogelijk om van vergrendelde iPhones waarvan het wachtwoord niet bekend is gedeeltelijk het bestandssysteem te verkrijgen.

De jailbreak maakt gebruik van een kwetsbaarheid in de iPhone Boot ROM. Het beveiligingslek is aanwezig in oudere iPhones tot en met de iPhone X. Het probleem is in de iPhone 11, 11 Pro, 11 Pro Max, XS, XS Max en XR verholpen. Via de kwetsbaarheid kan een aanvaller met fysieke toegang tot een iPhone willekeurige code op het toestel uitvoeren. Elcomsoft biedt forensische software voor onder andere het onderzoeken van iPhones. De checkra1n-jailbreak is nu aan de "iOS Forensic Toolkit" toegevoegd.

De jailbreak is zowel op ingeschakeld als uitgeschakeld toestel uit te voeren, ook als de passcode niet bekend is. Een groot deel van de versleutelde data blijft ook met de jailbreak ontoegankelijk. Wel is het mogelijk om bij een vergrendelde iPhone toegang tot logs, voorkeuren, profielen, systeemdatabases, gesprekslogbestanden, tijdelijke sms-databases en voicemaildatabase te krijgen. Ook de geschiedenis van wifi-verbindingen, gepairde bluetooth-apparaten en *.logbestanden van WhatsApp zijn toegankelijk, alsmede de lijst met geblokkeerde contacten.

Volgens Elcomsoft is dit "by design". Sommige bestanden op de iPhone zijn alleen na het ontgrendelen toegankelijk, terwijl andere hiervoor toegankelijk zijn. Dit is nodig om het systeem op te laten starten en bijvoorbeeld gesprekken te ontvangen en het Find My iPhone-proces. "Het vormt geen serieus beveiligingsrisico, omdat het toestel zelf nog steeds vergrendeld is", aldus Elcomsoft-ceo Vladimir Katalov, die opmerkt dat de jailbreak niet helpt bij het achterhalen van de passcode.

"De beste resultaten zijn echter te behalen wanneer het toestel is ontgrendeld. Vergeet niet de keychain-decryptie waarmee je toegang tot tal van wachtwoorden en authenticatietokens krijgt, wat de deur voor cloudacquisitie opent", stelt Katalov. Tevens blijkt dat de jailbreak ook is uit te voeren als de USB Restricted Mode staat ingeschakeld. Deze feature zorgt ervoor dat iOS bijhoudt wanneer het toestel voor de laatste keer is ontgrendeld of op een computer of andere accessoire is aangesloten.

Wanneer er een uur sinds één van deze gebeurtenissen is verstreken schakelt iOS de Lightning-poort uit. Op dat moment is de poort alleen nog te gebruiken voor het opladen van het toestel. Door de DFU-mode van de iPhone in te schakelen is die nog steeds toegankelijk en is de jailbreak uit te voeren.

"Voor de eerste keer sinds de iPhone 4 kunnen experts bijna alles benaderen op een groot aantal iPhone-modellen. Geheime chats, gecachte berichten, databases, locatie- en systeemlogs en nog veel meer is te achterhalen op de iPhone X en oudere modellen, ongeacht iOS-versie.", claimt Katalov. Apple heeft nog altijd geen beveiligingsupdate voor de kwetsbaarheid uitgebracht en volgens sommige experts is het onwaarschijnlijk dat dit zal gebeuren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.