Så let er det at få fuld adgang til din pinkode-beskyttede smartphone

Jeg har en gammel Nokia-telefon, og skal ikke have en smartphone. Men det undrer mig godt nok, at Apple tilsyneladende ikke har fundet ud af at blokere deres telefoner for brute-force angreb.

På min gamle Nokia, har man tre forsøg til at taste den rette pinkode ind, ved fjerde forkerte forsøg blokerer telefonen, og skal nu have PUK koden i stedet. Og efter 10 forkerte forsøg bliver også PUK koden blokeret. Så hedder det nyt SIM-kort.

Og med hensyn til den software som "alle kan købe" for (kun ?) 30000 kr - jeg tror jeg er havnet i den forkerte branche, for et brute force angreb på en firecifret pinkode - det vil jeg godt lave for en hundredekroneseddel !

På min gamle Nokia, har man tre forsøg til at taste den rette pinkode ind, ved fjerde forkerte forsøg blokerer telefonen, og skal nu have PUK koden i stedet. Og efter 10 forkerte forsøg bliver også PUK koden blokeret. Så hedder det nyt SIM-kort.

Du blander telefonlås og SIM-lås sammen. Koden til SIM-kortet kan selvsagt kun trykkes forkert tre gang, har lige prøvet det på min iPhone 4S, før der skal indtastes PUK-kode.

Mvh

Det er heller ikke så lige til som du får det til at lyde - det er ikke fordi den blot sidder og afprøver koderne, men i stedet at de har fundet en måde at boote en custom firmware, som så kan læse alt indholdet ud, efter den har knækket nøglen.

Men i forbindelse med datasikkerhed er simkortet uinteressant.

Og som Jonas korrekt skriver er det ikke ved at bruge telefonen normalt. Du kan få din iPhone til at "selfdestruct" ved 10 forkerte forsøg mener jeg.

Men det er jo kun hvis iOS er bootet, og ikke f.eks XRY.

Personligt har jeg slet ikke sat nogen PIN-kode op på min iPhone. Dem findes der derimmod en del af til særligt kritiske applikationer. Alt lagret i appen mSecure, hvortil der kræves et alfanumerisk løsen der er mere end 10 tegn langt, og som syncer til iPad og Mac gennem DropBox.

Det ville simpelthen være overkill at skulle indtaste PIN-koden hver gang man skal bruge iPhonen.

Personligt har jeg slet ikke sat nogen PIN-kode op på min iPhone. Dem findes der derimmod en del af til særligt kritiske applikationer. Alt lagret i appen mSecure, hvortil der kræves et alfanumerisk løsen der er mere end 10 tegn langt, og som syncer til iPad og Mac gennem DropBox.

Det ville simpelthen være overkill at skulle indtaste PIN-koden hver gang man skal bruge iPhonen.

Som Jonas skriver bliver PIN-kode i artiklen brugt om den kode, der skal bruges til at låse telefonen op, ikke SIM-kortet.

Jeg opdaterer lige artiklen for at få det gjort klart.

De fleste vælger at bruge fire tal som kode, fordi det er væsentligt nemmere at taste ind hver gang, du skal bruge telefonen, end noget med bogstaver, pga. tasternes størrelse på skærmen.

vh.

Jesper, Version2

Selv på den gamle iPhone 4 med iOS 5 (og sikkert også tidligere versioner) findes i Indstillinger - Lås med kode - Slet data

Dette sletter "alle data på denne iPhone efter 10 mislykkede forsøg på indtastning af adgangskode". Sletningen sker ved sletning af krypteringsnøgle. Mig bekendt er dette slået til som standard, men jeg kan evt. huske forkert.

Kan skumle personer også omgå dette - eller har journalisten overset noget?

(Journalisten kan naturligvis have rettet artiklen efter at jeg har skrevet ovenstående)

Skal det forstås som at Dropbox er et kerne-element i din sikkerhedsmodel?

XRY må da bruge nogle af de samme metoder som jailbreaket fællesskabet bruger, hvilket vil sige at apple også gør alt for at blokke det?

Demonstrationen sker med en iPhone 4, fordi det er den mest udbredte kombination af hardware og software på markedet

iPhone 4 kan (og er i mange tilfælde) opdateret til iOS 5. Der mangler uddybelse om hvilken iOS version der er testet imod, da det ellers er ret ligegyldig information. Sikkerhedsfunktionerne er ændres/forbedret fra iOS 4 til iOS 5. Hvad de specifikke forbedringer er, kan jeg ikke lige huske.

Den nyeste model, iPhone 4S, har også fået indbygget en dedikeret kryptochip, der gør det langt sværere at få adgang til oplysninger på telefonen, sammenlignet med forgængerne.

Der har været hardware kryptering på iPhone siden iPhone 3GS. Så endnu engang, ret ligegyldig information, uden at vide om det er en ny og forbedret "kryptochip" ift. forgængerne.

Dette sletter "alle data på denne iPhone efter 10 mislykkede forsøg på indtastning af adgangskode". Sletningen sker ved sletning af krypteringsnøgle. Mig bekendt er dette slået til som standard, men jeg kan evt. huske forkert.

I princippet, hvis du har mulighed for at smide et stik i røven på din iPhone, kan de omgå bootloaderen (eller deromkring, jeg kan ikke huske hvad de kære Apple folk helt specifikt sagde), og bare køre løs med adgangskoder, da forsøgende så gører uden om den mekanisme der holder styr på antallet af forkerte forsøg. Apple anbefaler også selv egentlig adgangskoder (6+ tegn) fremfor pinkoder.

Jeg bærer på mig: 1. mit sygesikringsbevis 2. mit kørekort 3. mit dankort m.fl. som alle er ret trælse at miste. Hvordan beskytter jeg mig mod, at data fra disse bliver misbrugt? Ved at sørge for ikke at miste dem! Hvorfor har mobiltelefonen fået status af den-må-du-gerne-miste enhed?

Vidst kun meget lidt tænkende mennesker bringer en telefon spækket med personlige oplysninger rundt i landskabet på en måde hvor den er i fare for at blive mistet.

Hvis jeg mister f.eks. mit sygesikringsbevis, så kan det hackes ved max 2 forsøg: Hvis det findes med bagsiden opad, så kræver det at man vender det om for at læse informationen.

En betragtelig større sikkerhedsrisiko findes, efter min mening, i en fuldstændig ukritisk installeren af apps fra hvorsomhelst - også GooglePlay - altså en lommeregner, som kræver adgang til dine kontakter, hvor er vi så henne?

Så: Hvis du har dokumenter på din iPhone, så betragt din iPhone som et dokument. Hvis den absolut skal ligge på bardisken for at imponere hende dér, så læg en fotokopi i stedet - hun kan sgu nok ikke se forskel.

Hej Brian,

Du har ret - jeg manglede at skrive i artiklen, at telefonen kørte med iOS 5 i den nyeste version (5.1). Det er gjort nu.

vh.

Jesper, Version2

@Bjørn Froberg,

Næh, men DropBox sikrer sync mellem iPhone, iPad og MacBook, og mod tab af dataene.

Man kan også blive for hysterisk i sin omgang med løsener. Som bekendt skal man steder der satser maksimalt på sikkerhed blot åbne skrivebordets øverste skuffe, den med glas over den gamle liste med telefonnumre, for at se disse koder, som de færreste alligevel kan huske i hovedet.

I øvrigt er det mildest talt ikke koderne til afsendelse af de amerikanske atomraketter, jeg opbevarer i mSecure. Hvor de i øvrigt ligger krypteret, også på DropBox.

jeg manglede at skrive i artiklen, at telefonen kørte med iOS 5

Kan du også fortælle en ikke-iPhone-bruger hvilken af de 10.000 kombinationer, der er ugyldig?

Tænker bare at dropbox har haft adskillige sikkerheds-"ups"'ere.. så personligt har jeg intet følsomt liggende dér. :-)

Men tvær-synkroniseringen er sgu en dejlig ting at have.

Ikke at det virker synderligt svært at knække, men FBI har tilsyneladende haft lidt kvaler med det. Hvordan klarer det sig, hvis man skulle gå hen og blive overfaldet af en hemmelig agent med programmer til flere tusinde kroner dedikeret til at knække telefoner?

http://www.net-security.org/secworld.php?id=12601

Hvis sikkerheden er meget vigtig, så vælg BlackBerry. Den er uovertruffen.

Hvad er det for noget vrøvl! BlackBerry var bare langt tidligere ude, med en 'erhvervsløsning' som er proprietær og derfor noget sværere at komme til at hacke. Og så tager de en bondegård for løsningen, så erhvervslivet falder for 'når det koster meget må det jo være godt' fælden. Det er stadig Exchange og mail...

Men sikkerheden på selve telefonen er ikke bedre!

@Bjørn Froberg,

Nu er der jo så ikke blot DropBox der er beskyttet. Den fil mSecure arkiverer sine data i er også krypteret, og efter alt at dømme med samme nøgle som jeg bruger til at få adgang til app'en på alle de enheder, jeg bruger den på.

Men du kan da se et par anmeldelser, den første skriftlig, den anden som film

http://www.cravingtech.com/msecure-password-manager-review.html

http://www.google.dk/url?sa=t&rct=j&q=msecure%20review&source=web&cd=4&v...

Hvor er det at du finder sikkerheden for ringe?

Det gør alle 10.000 :-)

Nu gætter jeg på det handler om iPhone og lign krypterer deres storage, med sammen nøgle som pin koden således man kun skal taste en kode når man tænder tlf'en. Ellers giver det ikke mening at de kan boote en custom rom og derefter få mange forsøg.

Mit bud på en løsning ville være at gemme en lidt længere nøgle på simkortet, som XRY ikke så nemt lige bare kan kaste en ny firmware på.

Ulempen ville være man ikke kunne åbne tlf'en uden at låse sim op ;)

Evt. kunne man gemme et ekstra nøgle krypteret med et langt kodeord til lige denne situation.

Man kan også blive for hysterisk i sin omgang med løsener. Som bekendt skal man steder der satser maksimalt på sikkerhed blot åbne skrivebordets øverste skuffe, den med glas over den gamle liste med telefonnumre, for at se disse koder, som de færreste alligevel kan huske i hovedet.

Hvis man satser på maksimalt sikkerhed, vil man da ikke kun nøjes med et komplekst password, her bruger vi f.eks smartcards som to faktor login, det kunne evt. være hvad som helst andet ud over ens normale login, f.eks RSA token / SMS code etc.

Så en angriber ikke rigtigt kan lave det store uden at have det fysiske kort i hånden selv hvis de skulle have brugerens pin/pass, og da folk ikke kan komme ind/ud fysisk af bygningen, uden at bruge samme kort er det ikke noget der bliver efterladt ved deres pladser.

Er enig med Hans ;o)

BlackBerry er og bliver den foretrukne løsning når det drejer sig om sikkerhed på SmartPhones.

Det som Jakob omtaler er forbindelsen mellem BlackBerry enhederne, ind mod BlackBerry NOC, og har ikke nogen relevans i denne sammenhæng ? Ligesom dit argument omkring et krævende mailsystem ?

BlackBerry er kommet i en Express udgave der kan hentes og installeres ganske gratis !

Når vi er i gang, kan det nævnes at der fra operatørenes side opkræves et tillægsabonnement når det skal snakke "BlackBerry" men da det samtidig inkludere data er det ikke meget mere end et normalt erhversabonnement med tilhørende dataforbrug. også taget i betragtning at prisforskellen mellem BB enheder og iPhones ikke er helt lille, og BlackBerry ydermere komprimere trafikken så dataforbruget mindskes op til faktor 4 når vi taler om PIM synkronisering, og 2 når det er browsing, facebook, mm sammenlignet med iOS og Android.

Min største bekymring omkring det her er at iOS gemmer brugernavne og adgangskoder i en database, hvori alt står i klar tekst! Så når XRY har gjort sit kan man hente login til gmail, facebook osv. direkte ud fra databasen.

Hvis det var lykkedes nogen at komprimitere en BlackBerry var jeg sikker på vi nok kunne finde en artikel eller to om det herude et sted?

En Blackberry Expross-app på AppStore? Jeg kan ikke finde nogen.

I øvrigt kan jeg kun komme i tanke om hackede iPhones - når disse har været jailbroken, og når man i ssh-programmet har beholdt default-løsenet.

Og så lige Margrethe Vestagers iPhone, som hun fysisk lånte hackerne, uden at den var opdateret, og uden PIN-kode beskyttelse ...

Vidst kun meget lidt tænkende mennesker bringer en telefon spækket med personlige oplysninger rundt i landskabet på en måde hvor den er i fare for at blive mistet.

En iPhone er designet helt fra begyndelsen til at indsamle så mange personlige oplysninger som teknisk muligt (og göre dem tilgängelige på maskinläsbar form). Det er lidt for generelt bare at kalde alle der har en iPhone for 'lidt tänkende mennesker', synes jeg. Man bör snarere undre sig over hvorfor lovgiverne i vores del af verden synes at det er en så god ide at de ikke vil gribe ind over for det.