image

Robothand kraakt met bruut geweld iPhone-pincode

dinsdag 23 juli 2013, 10:07 door Redactie, 13 reacties

Om het kraken van de pincode van een iPhone of Android-toestel te vereenvoudigen hebben twee beveiligingsonderzoekers een robothand ontwikkeld die 10.000 combinaties in minder dan 20 uur kan proberen. De robothand heeft de naam R2B2 gekregen, wat staat voor Robotic Reconfigurable Button Basher en zal tijdens de Defcon hackerconferentie worden gedemonstreerd.

Onderzoekers Justin Engler en Paul Vines hadden slechts 200 dollar aan hardware nodig om R2B2 te bouwen. Als onderdelen gebruikten de twee onder andere een servomotor, een open-source Arduino controller en een aantal plastic onderdelen die met een 3D-printer gemaakt zijn. De blauwdruk voor deze onderdelen zullen binnenkort online verschijnen.

Pincode
De robothand kan één pincode per seconde proberen. Voor de 10.000 mogelijkheden van een viercijferige pincode heeft de hand 19 uur en 24 minuten nodig, zo laten Engler en Vines tegenover Forbes weten. Uit onderzoek blijkt dat 26% van de gebruikers één van de 20 meest voorkomende pincodes gebruikt.

Als R2B2 deze pincodes eerst probeert, weet het een kwart van de Android-smartphones binnen 5 minuten te kraken, en de helft van deze telefoons in minder dan een uur. De onderzoekers zijn van plan om de toepassingen van de robothand verder uit te breiden, zodat die ook op geldautomaten, hotelkluizen en combinatiesloten werkt.

Reacties (13)
23-07-2013, 10:22 door Anoniem
Raar verhaal. Als je meer dan 3 keer een verkeerde pincode invoert moet je 8 cijferige pukcode invoeren. Mijn Android telefoon vraagt daarnaast bij teveel verkeerde inlogpogingen om mijn Google credentials.
23-07-2013, 10:31 door sjonniev
Telefoons van tegenwoordig hebben toch een bescherming tegen dit soort brute force aanvallen? Na 10 keer fout wachtwoord zich op disabled zetten, of nog beter, helemaal leeggooien?
23-07-2013, 10:45 door [Account Verwijderd]
[Verwijderd]
23-07-2013, 11:25 door Anoniem
Door Stoeprand: Dus moet je 10.000 keer elke combinatie proberen om die juiste combinatie te vinden.

Als je het wiskundig benaderd, doe het dan goed. In de worst-case moet je 10.000 combinaties proberen. Je kan er van uitgaan dat je over het algemeen maar de helft van de pogingen nodig hebt.
23-07-2013, 11:39 door mattiasvdm
Dat is de reden dat ik geen 4 cijferige beveiligingscode heb op m'n iPhone... Hoe meer hoe beter!
23-07-2013, 12:03 door Orion84
Door sjonniev: Telefoons van tegenwoordig hebben toch een bescherming tegen dit soort brute force aanvallen? Na 10 keer fout wachtwoord zich op disabled zetten, of nog beter, helemaal leeggooien?
Of nog simpeler: vertragingen inbouwen bij herhaalde foute pogingen. Bij Android zijn die vertragingen default maar beperkt (30sec. na 5 pogingen), maar bij bijvoorbeeld iOS lopen die vertragingen veel hoger op. Zie ook het volgende stukje uit het artikel bij Forbes:
Not all PIN-protected devices are susceptible to the R2B2?s brute force attack, Engler admits. Apple’s iOS, for instance, makes the user wait increasing lengths of time after each incorrect PIN guess. After just a handful of wrong answers, the phone can lock out a would-be hacker for hours before granting access to the PIN pad again.
23-07-2013, 12:24 door spatieman
robot fap hand , hehe
23-07-2013, 12:30 door Anoniem
Meer dan 4 cijfers is inderdaad veel beter, de iPhone unlocked ook niet meer automatisch na je laatste cijfer (je moet dan nog op ok drukken) dus je weet dan ook niet hoe lang de code is. Wat ik nog niet snap is waarom de keypad altijd dezelfde layout heeft. Makkelijker mee te gluren. En ik kan me voorstellen dat via vingerafdruk kun je de gebruikte cijfers achterhalen of in elk geval cijfers kan wegstrepen (hoevaak unlock je wel niet je telefoon op een dag. Ok, vervolgens krijg je ook wel weer veel afdrukken door het gebruik van de touchscreen, maar toch)
23-07-2013, 12:52 door Anoniem
Mijn Android 4.2.2 wist zichzelf na 5 foutieve pogingen
23-07-2013, 13:37 door Anoniem
Zoiets werkt bij Android telefoons dus ook niet. Wel een handig apparaat maar niet geschikt voor 99% van de telefoons op de markt, of eigenlijk elk apparaat waarvan de ontwikkelaar niet geheel naief is.
23-07-2013, 14:05 door Anoniem
Aangezien op android je pin of wachtwoord gebruikt word voor de encryptie van je sd:
http://nelenkov.blogspot.nl/2012/08/changing-androids-disk-encryption.html
is het sowieso goed om een lang pin/wachtwoord te kiezen.
24-07-2013, 09:28 door Anoniem
ja maar soms mag je geen cijferherhaling hebben (zoals 1111, of zelfs 1123). Er er zijn getallen zoals 4711 en 6230 die zo bekend zijn dat zelfs onnozelaars die niet als pincode gebruiken. 0000 is meestal de startwaarde die je verplicht moet veranderen. Kortom: er zijn er minder dan 10.000
24-07-2013, 17:27 door [Account Verwijderd]
Door Stoeprand:
Dus moet je 10.000 keer elke combinatie proberen om die juiste combinatie te vinden. Voor een mens is dat lastig, maar voor een machine niet.
Je zegt het verkeerd, je hoeft niet 10.000 keer elke combinatie te proberen. Wel zijn er 10.000 combinaties in totaal.

ontopic: Allemaal wel leuk dit, maar meeste telefoons (zoals iedereen boven me al heeft aangehaald) die wissen/blokkeren zichzelf na een aantal mislukte pogingen. Ook deze tech gebruiken voor geldautomaten, zoals naar voren komt in het artikel, heeft niet veel nut. In dat geval wordt het een kans van 1 op de 3.333 (10.000 : 3 pogingen) dat je een pincode kraakt voordat de pas wordt geblokkeerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.