Har du fortrolige oplysninger på din iPhone og kritiske passwords, er det bedst ikke at miste telefonen.
Det konkluderer to tyske forskere, efter at have banet sig vej ind i en iPhones filsystem, uden at kende koden til at lukke telefonen op. Og selvom Apple med version 4 af iOS introducerede en udvidet beskyttelse af passwords på telefonen, var der fri adgang til mange af dem alligevel. Det skriver Heise Online.
Problemet er nemlig, at kun de færreste applikationer bruger de nye sikkerhedsfunktioner. Selv meget af Apples egen software på telefonen springer over, konstaterer de to sikkerhedsforskere fra det kendte Fraunhofer-institut.
Adgangen til data på en låst telefon sker gennem et modificeret jailbreak, som giver adgang til telefonens filsystem. Ved at installere en SSH-server på telefonen, kunne forskerne køre egne scripts på telefonen.
De beskyttede passwords ligger gemt i en 'nøglering' bag stærk AES-256-kryptering. Men da det ikke er brugerens eget password, der er brugt til at beskytte dataene, kan telefonen selv få adgang til nøgleringen.
Derfor kunne forskerne med et script få adgang til dekrypterede data, hvilket altså afslørede passwords til en række tjenester i klartekst. Passwords gemt i browseren Safari på telefonen samt Apples Mail-program var dog utilgængelige, da disse applikationer bruger Apples nye, stærkere beskyttelse.
De tyske forskere konkluderer, at angrebet ikke krævede særligt avancerede hacker-evner, og at glemte iPhones derfor ikke skal regnes for godt beskyttede af et adgangs-password. Mister man sin iPhone, gælder det om at ændre alle sine password med det samme, anbefaler de.
Læs mere om adgangen til passwords og data i forskernes rapport (pdf)