iPhone-beveiliging

Apple ontkent nieuwe manier om pincodelimiet iPhone te omzeilen [update]

Een hacker zegt een manier te hebben gevonden om de limiet bij het invoeren van pincodes te omzeilen. Daardoor zou je meer dan 10 invoerpogingen kunnen doen. Maar Apple zegt dat de test fout is uitgevoerd en de man krabbelt nu zelf ook terug.
Gonny van der Zwaag - · Laatst bijgewerkt:

Update 24 juni: Apple ontkent dat de iPhone op deze manier gemakkelijk te omzeilen is en zegt dat de test niet goed is uitgevoerd. “The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing,” zegt Apple in een reacties. Hickey paste daarna zijn oorspronkelijke beweringen aan en geeft uit dat de hack mogelijk niet zo werkt als hij aanvankelijk had gedacht. Soms lijkt het alsof de pincodes getest worden, maar worden ze niet naar de processor van de Secure Enclave gestuurd. De toestellen registreren daardoor minder pogingen dan in werkelijkheid het geval is.

Het is onduidelijk of Hickey daarover nog contact heeft gehad. Zelf zegt de man dat hij de kwetsbaarheid heeft gemeld bij Apple, maar geen reactie kreeg. Wel zegt hij de ontdekking verder te gaan onderzoeken. Dat zal ook gelden voor andere beveiligingsbedrijven, die ongetwijfeld willen weten of Hickey toch op het juiste spoor zat.

In iOS 12 zouden dergelijke kwetsbaarheden verleden tijd moeten zijn dankzij de USB Restricted Mode. daardoor kun je na een bepaalde tijdsperiode de Lightning-poort van een toestel niet meer gebruiken om data uit te wisselen. Deze optie staat standaard aan in de iOS 12 beta en waarschijnlijk ook in de iOS 12 Final.

Hieronder volgt ons oorspronkelijke bericht van 23 juni.

De man, Matthew Hickey, was niet met kwaadaardige bedoelingen op zoek naar een kwetsbaarheid, maar kwam het tijdens zijn werkzaamheden op het spoor. Het bleek mogelijk om alle pincodes van 0000 tot 9999 te proberen en via een kabel naar het apparaat te verzenden. Op die manier blijkt de normale limiet van 10 pincodepogingen te kunnen worden omzeild met een brute force-aanval. Elke poging duurt tussen de drie en vijf seconden. Daarmee lukt het om binnen een paar dagen de iPhone of iPad te ontgrendelen. Voor codes van zes cijfers duurt het proces enkele weken – tenzij de gebruiker een voor de hand liggende cijferreeks heeft gekozen.

Volgens Hickey werkt de methode in ieder geval op iOS 11.3. Onduidelijk is nog of het ook op iOS 11.4 en de iOS 12 beta werkt.

Tip: lees alles over Pincode instellen op iPhone en iPad. Je kunt in plaats van een pincode beter kiezen voor een langere alfanumerieke toegangscode.

De hacker heeft Apple op de hoogte gebracht, maar heeft nog geen reactie ontvangen. Mogelijk is de kwetsbaarheid die Hickey heeft ontdekt, ook toegepast bij het GrayKey-kastje, waarmee politiediensten iPhones van verdachten kunnen ontgrendelen. Hickey benadrukt dat de truc gemakkelijk te ontdekken bleek.

Revisiegeschiedenis:

  • 2018 - 24 juni: Artikel bijgewerkt met reactie van Apple.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 24 juni 2018, 12:12
Bron Bron ZDNet
Categorie Achtergrond
Onderwerp beveiliging

Plaats een reactie

Als je een eigen afbeelding bij je reactie wil, moet je je aanmelden bij Gravatar. Daar kun je jouw e-mailadres koppelen aan een afbeelding.

Suggestie hoe we dit artikel kunnen verbeteren?
Laat het ons weten!

    Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Respecteer onze algemene gedragsregels. Gebruik voor eventuele spelfouten of andere opmerkingen met betrekking tot het artikel s.v.p. onze artikelrapportage. Voor opmerkingen over ons moderatiebeleid kun je ons contactformulier gebruiken. Reacties met betrekking hierover worden als off-topic beschouwd.
    Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactiegegevens worden verwerkt.