Passwords på iPhone er dårligt beskyttede

Glemmer du din iPhone, kan andre tilgå dine data på telefonen med et jailbreak. Også mange passwords kan hentes ud i klar tekst, på trods af, at Apple har hævet sikkerheden.

Har du fortrolige oplysninger på din iPhone og kritiske passwords, er det bedst ikke at miste telefonen.

Det konkluderer to tyske forskere, efter at have banet sig vej ind i en iPhones filsystem, uden at kende koden til at lukke telefonen op. Og selvom Apple med version 4 af iOS introducerede en udvidet beskyttelse af passwords på telefonen, var der fri adgang til mange af dem alligevel. Det skriver Heise Online.

Problemet er nemlig, at kun de færreste applikationer bruger de nye sikkerhedsfunktioner. Selv meget af Apples egen software på telefonen springer over, konstaterer de to sikkerhedsforskere fra det kendte Fraunhofer-institut.

Adgangen til data på en låst telefon sker gennem et modificeret jailbreak, som giver adgang til telefonens filsystem. Ved at installere en SSH-server på telefonen, kunne forskerne køre egne scripts på telefonen.

De beskyttede passwords ligger gemt i en 'nøglering' bag stærk AES-256-kryptering. Men da det ikke er brugerens eget password, der er brugt til at beskytte dataene, kan telefonen selv få adgang til nøgleringen.

Derfor kunne forskerne med et script få adgang til dekrypterede data, hvilket altså afslørede passwords til en række tjenester i klartekst. Passwords gemt i browseren Safari på telefonen samt Apples Mail-program var dog utilgængelige, da disse applikationer bruger Apples nye, stærkere beskyttelse.

De tyske forskere konkluderer, at angrebet ikke krævede særligt avancerede hacker-evner, og at glemte iPhones derfor ikke skal regnes for godt beskyttede af et adgangs-password. Mister man sin iPhone, gælder det om at ændre alle sine password med det samme, anbefaler de. Læs mere om adgangen til passwords og data i forskernes rapport (pdf)

Kommentarer (14)

Jakob Damkjær

Hvis de kære tyskere kan gøre det hvis telefonen er låst med "Find my iPhone"...

For det er det første man gør når man opdager at ens Apple exobrain ikke er hvor den skal være.

Desuden så er det "aber dabei" i afsnitet:

"Passwords gemt i browseren Safari på telefonen samt Apples Mail-program var dog utilgængelige, da disse applikationer bruger Apples nye, stærkere beskyttelse."

Så din mail og web passwords er sikre...Totalt breaking news. Måske kunne man også ha skrevet titlen på artiklen således

"Selv med fysisk adgang til iOS devices kan forskere ikke bryde Apples passwordbeskyttelse"

For det er faktisk ret godt klaret, hvis man ser på hvad man kan gøre med fysisk adgang til hvilken som helst dims. Det kaldes perspektivering...

og hvis bankernes apps ikke bruger (samt løbende bliver opdateret til) de nyeste sikkerheds metoder der er tilgængelig på respektive platforme, så vil det være bankens ansvar at de ikke tilstrækeligt sikrede deres kunder mod kompromitering af bankens system.

Men det passer ikke overens med den redaktionelle priotering på Version2.
I den optik bliver det vendt til at fordi den gamle sikkerhed er kan hackes med fysisk adgang til telefonen så er sikkerheden dårlig... Hvorfor mon Apple udviklede og implementerede de nye sikkerheds features ?

Undertitlen er også kioskbasker stil med fejlagtig argumentation...

"Også mange passwords kan hentes ud i klar tekst, på trods af, at Apple har hævet sikkerheden."

Denne sætning er ikke i overensstemmelse med virkeligheden. Den første del af sætningen har en forudsætning om at udvikleren af appen bruger den gamle sikkerhed, men den anden del af sætningen hævder at Apples nyeste sikkerhedsmodel ikke er tilstrækkelig. Noget som i artiklen senere viser sig ikke at passe.

Den sætning burde være skrevet i stil med dette. "Hvis app udviklere ikke benytter den seneste sikkerhedsmekanisme er passwordsne usikre. Dog har den opgradere passwordskryptering som Apple udgav sidste år vist sig ikke at kunne brydes."

Version2 jeg har taget nogen med jeg gerne vil ha du skal møde - Virkeligheden. Prøv ikke at modsige overskriften i brødteksten. Det virker forvirende og er ikke den bedste måde at beskrive fakta på. Det virker som om jeres google page rank /kioskbasker optimereings team ikke rigtig forstod brødteksten før de skrev overskriften eller var det google translate der lavede en fejl ?

/Jakob

Det der måske kunne kritiseres er at det er op til udvikleren at markerede hvilken sikkerheds mekanisme de bruger i deres app og der burde være en vare deklaration på appsne hvilken sikkerhed de bruger.

Jakob Holm Hansen

Hvis de kære tyskere kan gøre det hvis telefonen er låst med "Find my iPhone"...

Men det kræver så at du har iPhone4 OG installerer pågældende app. For nu at stjæle PHK's analogi fra en anden tråd:

Et sikkerhedshul er ikke "lukket" hvis brugerne selv skal fylde mørtel i

Jakob Dam Knudsen

Du glemmer de mange, mange apps på appStore der tilbyder at du kan gemme alle dine kodeord og tilgå dem via et "master password".

Det er dem der bliver kompromitteret nemt via jailbreak.

Hvad apps'ene har af krypteringsværktøjer vil variere efter hvilken app vi snakker om - men mange af dem gemmer deres "sikre kodeord" i simple ascii-filer ukrypteret. De har sprunget over hvor gærdet var lavest, og lavet applikationer der ser UD til at være sikre og VIRKER sikre. Når bare man ikke tilgår dataene direkte, hvilket for mange brugere ikke overvejes. Kun apps der bruger keychain til beskyttelse af kodeord, ser ud til at virke utilgængelige.

I et eksempel viser de et output af wifi-kodeord. Det er måske heller ikke det heldigste at have andre til at kende, givet at du på din arbejdsplads er på wlan. Jo, man kan igen sige at arbejdspladsen bør sikre deres wifi således at det ikke kan bruges til andet end at komme på internettet, fremfor at tilgå intranettet, men der er rigtigt mange men'er og fakta er bare, at mange firmaer ikke kan stå imod hvis deres wifi-kodeord bliver kendt af andre.

Du lader til at have mere travlt med at bashe andre fremfor selv at læse.

De skriver meget tydeligt:

we assume that no remote wipe command was received in the meantime (e.g, theft remained unnoticed, no network connection, etc.). In any case, the attacker turns off the device and removes the
SIM card to prevent a further remote control.

Det står i skærende kontrast med de allerførste linjer i dit indlæg.

Michael Jensen

Du glemmer de mange, mange apps på appStore der tilbyder at du kan gemme alle dine kodeord og tilgå dem via et "master password".

Det er dem der bliver kompromitteret nemt via jailbreak.

de beskyttede passwords ligger gemt i en ’nøglering’ bag stærk AES-256-kryptering. Men da det ikke er brugerens eget password, der er brugt til at beskytte dataene, kan telefonen selv få adgang til nøgleringen.

Tja, jeg synes det ligner en forkert implementation af nøgleringen fra starten af...

Bjørn Froberg

Det er nemlig helt korrekt. Disse wipe features virker ikke uden;

  • Net adgang
  • Sim kort
  • Hvis telefonen er slukket

Any combination of the above.

I kontrast kan man med forskellige løsninger til andre mobil-platforme overvåge SIM kortet og låse/wipe/hvad man vil selv hvis tyven skifter SIM kort.
Nogen er endda så venlige at give én tyvens nye telefon-nummer når han skifter SIM. :-D

Jakob Holm Hansen

Hurtigt indskydelse, "Find my iPhone" kræver "blot" iOS 4 og er ikke en iPhone4-specifik feature, ej heller en app, i traditionel forstand. Funktionen er altså bygget ind i iOS.

Ok, det er ikke en særskilt app, my bad. Men den KRÆVER altså en iPhone4. Det siger onkel Google i hvert fald (og Apple selv iøvrigt)

Bjørn Froberg

Apple har også en ret interessant tilgang til produkt oplysning;

F.eks. er standard svaret når man spørger om en Mac kan få virus; "A Mac cannot get PC viruses."
Ja, ok, men hvad med cross-platform eller bare at være smittebærer? =)

Det er go' griner synes jeg :-D

Jakob Damkjær

"De skriver meget tydeligt:

we assume that no remote wipe command was received in the meantime (e.g, theft remained unnoticed, no network connection, etc.). In any case, the attacker turns off the device and removes the
SIM card to prevent a further remote control."

Det står i skærende kontrast med de allerførste linjer i dit indlæg."

Hvordan ? jeg skriver at det interessante ville være om det virkede hvis der var et lock signal på telefonen om det forhindrede adgang til apps der brugte den ældre ikke helt så sikre sikkerheds API.

At forskerne SELV med disse antagelser, hvad der kræver en forberedt og målrettet black hat, ikke kan kompromitere mail og safari password listen. Samt alle apps der bruger den samme "nye" sikkerheds feature (iOS 4.2 er trods alt ikke lige 5 minutter gammel men faktisk en 4-5 måneder hvis jeg ikke husker galt).

Så SELV hvis en angriber forhindre dig i at sende et kill switch signal til telefonen så kan de hvis du bruger den "nye" sikkerheds API ikke komme til de passwords.

Angående wifi så bør adminen af et wifi netværk der har information der skal beskyttes på der ikke benytter en certifikat baseret sikkerhedsmodel fyres med det samme. I det tilfælde er det jo så dejligt nemt at revoke brugerens certifikat og gi den rigtige bruger et nyt easy.

"Find my iPhone" virker fint på alle iOS dimser med iOS 3 (dvs alle, dog har de tidlige iPhones ikke GPS og har derfor ikke evnen til at vise hvor den er men den burde fint kunne modtage et kill signal) og det er nu gratis for alle.
iPhone 4 har nogen yderligere hardwarebaserede sikkerheds APIer som iPhone 3GS har i en ikke helt så udviklet form. Så det virker på næste alle iPhones men virker bedst på iPhone 4.

Angående virus, så er der endnu ikke lavet en ægte virus (en worm der spreder sig uden eller med minimal bruger interaktion klick på link) til Mac OS X... Så nej der findes ikke crossplatform viruser der rammer Mac OS X.

Ja du kan kompromitere en Mac OS X computer med et målrettet angreb men virus coderne har ikke formået at automatisere processen.

/Jakob

PS! Ja der er malware til Mac OS X men det er af typen hvor det kræver at brugeren indtaster et admin password for at kunne virke og det er ikke worm typen det er et troja horse/rootkit typen. Ja den kan være smittebære men kun ved manuelt videresendelse af mails.

Mailserveren i Mac OS X server har en open source Antivirus inkluderet og en virus kan ikke forårsage at en virus inficeret mail sendes videre til hele din addresseliste...

Så hvis det er nok til forvire din cerabrale process i en grad så at den kun kan opretholde persistens ved at udbryde i latter, så er jeg sikker på at du vil få et langt og lattermildt liv.

Thomas Nielsen

Hej Jakob,

Din viden på malware området må jeg se som ganske begrænset da der findes artikler som den nedenstående der fortæller om malware (også orme) der har flureret på Mac.

http://nakedsecurity.sophos.com/2010/11/24/apple-mac-malware-short-history/

Med hensyn til iPhone så er det gentagne gange blevet vist, at deres sikkerhed kan brydes, selv efter at de er opgraderet med nyeste iOS.

http://www.h-online.com/security/news/item/iOS-4-2-1-closes-a-number-of-...

Så inden du begynder at klappe over et nyt iOS eller ny Apple gadget, så skulle du følge mere med i sikkerhedsbranchens afdækninger.

Jeg har intet imod Apple, Microsoft eller Linux, da jeg kun forholder mig til hvordan jeg beskytter disse enheder.

Mvh
Thomas

Jakob Damkjær

du skal åbne en open office fil og hvad kunne den realt gøre ?

og proof of concept "viruser" har været på Mac OS X i mange år... problemet er at de endnu ikke er kommet ud over proof of concept.

Hvis de proof of concept viruser faktisk havde været proof of concept at det er muligt at lave en virus til Mac OS X eller iOS så havde vi haft en virus.

og det er ikke en worm hvis du skal åbne en kompromiteret fil (så den kan udnytte et sikkerheds hul i en fil) for så er den trojan horse begrænset til den spredning som folk der er dumme nok til at trykke på filen, samt at det kun vil kompromitere maskinen hvis admin brugeren er en idiot der klikker på kompromiterede filer.

Ægte worms spreder sig uden bruger interaktion, som den dejlige virus der fik alle windowsmaskinerne til at reboote hver 30 sekunder for et par år siden.

Så som jeg sagde så er Mac OS X og iOS ikke superhelte operativ systemer hackere har vist at de kan hacke en iOS telefon hvis de målrettet angriber den... Men vis mig et forbruger OS der ikke er hærdet (specielt opsat til at være modstandsdygtigt og voldsomt funktions hæmmet) der ikke kan hackes.

Men de har vist sig sikrede nok til at der ikke har været en "virus" advarsel der endnu ikke har vist sig enten at ha triviel konsekvenser eller kræver at brugeren har ødelagt iOS ved at jailbreake det (jep det er dumt at instalere en tilgængelig ssh server på din telefon med et standart root password).

Ellers har der ikke været en virus advarsel der har vist sig at være en real trussel mod den almindelige bruger.

Og som artiklen faktisk skriver så var sikkerhedsforskerene ikke istand til at tilgå de password der var krypterede med den nyeste sikkerheds API... Selv om de jailbreakede og "ownede"....

Så for at konkludere så kan du hvis du har fysisk adgang til ethvert system så kan du hacke det. Dette er ikke en nyhed det er noget man har vidst meget meget længe i sikkerhedskredse.

Men selv hvis du har fysisk adgang til en ny iOS dims så kan du ikke komme til de krypterede password hvis de er beskyttede med den nyeste API...

Men hey kom frisk vis mig et link til en historie om en faktisk ægte worm type virus der har inficeret Mac OS X og iOS dimser i virkeligheden og været et realt problem for Mac eller iOS brugere for den har jeg ikke set endnu.

Ikke bare nogle sikkerhedsfolk der vrider deres hænder over at de ikke kan tjene nogle penge på Mac OS X og iOS.

Selv under den sommer hvor ex NSA chief sec duchebag afslørede omtrent 100 "sikkerhedsproblemer" i Mac OS X kom der ikke en flodbølge af viruser...

Faktisk kom der ikke en eneste...

/Jakob

Thomas Nielsen

Hej Jakob,

Hvis du nu læser definitionen af hvad der er en trojaner og hvad der er en virus eller orm, så vil du se den primære forskel i at en Trojaner ikke spreder sig af sig selv.

Artiklen her kan hjælpe dig med at opklarer dette, og som også viser en virus/orm til Mac:
http://www.sophos.com/pressoffice/news/articles/2006/02/macosxleap.html

Læg nu mærke til at denne producent giver Anti-Virus til Mac gratis. Så der røg din pointe omkring fortjeneste.

Mvh
Thomas

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Adobe Dreamweaver Grundlæggende

Hvornår: 2015-11-18 Hvor: Storkøbenhavn Pris: kr. 9950.00

JavaScript/jQuery grundlæggende

Hvornår: 2015-10-19 Hvor: Storkøbenhavn Pris: kr. 10200.00

Administering Microsoft SQL Server Databases [20462]

Hvornår: 2015-09-24 Hvor: Østjylland Pris: kr. 19975.00

Varmeinstallationer (DS 469)

Hvornår: 2015-09-15 Hvor: Midtsjælland Pris: kr. 3180.00

Playmakeruddannelsen

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale