Nieuws
image

Vingerafdruk-aanval omzeilt Find My iPhone-feature

vrijdag 4 oktober 2013, 15:23 door Redactie, 8 reacties

Duitse onderzoekers hebben een aanval gedemonstreerd waarbij de vingerafdruklezer van Apple's nieuwe iPhone 5S kan worden gebruikt om de Find my iPhone feature uit te schakelen, die eigenaren van een verloren of gestolen toestel in staat stelt om het apparaat op afstand te wissen.

In een video op YouTube laten de onderzoekers van Security Research Labs zien hoe ze de Airplane Mode op een "gestolen" iPhone kunnen inschakelen. Daardoor is het niet meer mogelijk voor de legitieme eigenaar om via Find my iPhone het toestel te wissen, aangezien het niet meer met het internet verbonden is.

De volgende stap is het namaken van de vingerafdruk aan de hand van de vingerafdrukken die op de iPhone zelf zijn te vinden. De onderzoekers demonstreren dat dit inderdaad mogelijk is, zoals onlangs ook al door een andere Duitse hacker werd aangetoond. Met de nep-vingerafdruk kunnen de onderzoekers op het toestel inloggen.

Reset

Vervolgens kunnen de onderzoekers via iCloud het Apple ID wachtwoord resetten. Aangezien de resetlink op het e-mailaccount op de iPhone binnenkomt, moet er kort met het internet verbinding worden gemaakt. Dit is echter niet lang genoeg om de uitstaande wisopdracht uit te voeren die de oorspronkelijke eigenaar had gegeven. Met de resetlink kunnen de onderzoekers de iPhone uit de iCloud van de eigenaar verwijderen en die aan een ander account toe kennen.

Aangezien de wisopdracht nog steeds uitstaat wordt die uiteindelijk uitgevoerd zodra het toestel langere tijd met het internet verbonden is. De onderzoekers merken op dat het nog steeds mogelijk is om een back-up van de oorspronkelijke eigenaar via iCloud terug te zetten, zodat ze ook toegang tot zijn andere accounts op het toestel kunnen krijgen.

Airplane Mode

Om deze aanval te voorkomen krijgt Apple het advies de Airplane Mode niet vanuit het vergrendelingsscherm toegankelijk te maken en een pincode te vereisen elke keer dat de Airplane Mode wordt geactiveerd of de simkaart wordt verwijderd. Daarnaast moet Apple gebruikers tijdens het aanmaken van een Apple ID waarschuwen om inloggegevens voor het resetten van accounts niet op het toestel te bewaren.

Reacties (8)
04-10-2013, 16:05 door Anoniem
Hmm... interessante constatering!

Dat beginscherm staat dus gewoon teveel apps toe die te diep op je telefoon ingrijpen! Wellicht zal niet elk iPhone boefje meteen proberen om de iPhone te kraken, maar alleen terug naar fabrieksinstellingen is genoeg om 'm te verkopen. En als je net na de diefstal snel de Flight mode inschakelt voorkom je dus nare achtervolgingen zoals in de Rotterdamse metro onlangs
04-10-2013, 16:08 door johanw
Ongelooflijk dat Apple hier nog steeds mee klungelt, mijn oude Symbian Nokia had dat allemaal al lang. Nu nog die belachelijke instelling dat je vanuit het lockscherm 112 / 911 moet kunnen bellen weglaten, ook zo'n bron van toegangsgaten.
04-10-2013, 16:44 door Anoniem
Nu nog die belachelijke instelling dat je vanuit het lockscherm 112 / 911 moet kunnen bellen weglaten, ook zo'n bron van toegangsgaten.
Dus jij vindt niet dat je 112/911 zou moeten kunnen bellen in geval van nood? Want je bent dat ook lekker snel met inloggen,
misschien is je hand er wel vanaf, is jouw telefoon stuk en pak je de telefoon van je medeslachtoffer (scenario's).

Punt gaat niet dat het een bron zou kunnen zijn van toegangsgaten, gaat erom dat er geen gaten moeten zijn! De functie moet blijven (vooral omdat het bij wet verplicht is) maar nu eens goed geïmplementeerd worden!

@Security Research Labs: Well done! Daar kan ik nu van genieten! (gebruik toch geen Iphone's)
04-10-2013, 18:10 door Anoniem
Door johanw: Ongelooflijk dat Apple hier nog steeds mee klungelt, mijn oude Symbian Nokia had dat allemaal al lang. Nu nog die belachelijke instelling dat je vanuit het lockscherm 112 / 911 moet kunnen bellen weglaten, ook zo'n bron van toegangsgaten.

Wat is geklungel? Ik geef toe dat het slordig is om flightmodus uit te kunnen schakelen vanaf het lockscreen. Maar anderzijds zodra je de telefoon blokkeerd in Icloud blijft deze geblokkeerd. Zodra je telefoon gejat word, is het eerste wat je doet je wachtwoorden veranderen.


1. email wachtwoord veranderen
2. facebook en linkedin account resetten
3. find my iphone app activeren. Icloud account wachtwoord resetten.

112 of 911 vanaf het lockscreen moet er zeker weten inblijven, Op het moment dat er wat met mij gebeurd moet iemand of ikzelf zonder nadenken meteen een noodoproep kunnen plaatsen.
04-10-2013, 19:16 door Anoniem
Door johanw: Ongelooflijk dat Apple hier nog steeds mee klungelt, mijn oude Symbian Nokia had dat allemaal al lang. Nu nog die belachelijke instelling dat je vanuit het lockscherm 112 / 911 moet kunnen bellen weglaten, ook zo'n bron van toegangsgaten.
Iedereen kan weten dat een pincode van 4 of 5 cijfers beter werkt dan een vingerafdruk,
wat niet meer is dat een verkoopargument, maar verder volstrekt waardeloos is.
04-10-2013, 20:29 door Sokolum
Door johanw: Ongelooflijk dat Apple hier nog steeds mee klungelt, mijn oude Symbian Nokia had dat allemaal al lang. Nu nog die belachelijke instelling dat je vanuit het lockscherm 112 / 911 moet kunnen bellen weglaten, ook zo'n bron van toegangsgaten.

Het is Apple's nooit zijn sterkste punt geweest, Secrurity.
Het geluk van Apple is dat ze op een BSD achtige platform draaien en daardoor buitenschot bleven voor malware en virusen.
04-10-2013, 23:05 door Anoniem
Beetje jammer dat in het artikel niet wordt vermeldt hoe ze zelf het inschakelen van de Vliegtuigmodus in het lock-screen kunt uitzetten: Instellingen > Bedieningspaneel > Op toegangsscherm uitschakelen (Engels: Settings > Control Center > Access on Lock Screen uitschakelen)
05-10-2013, 20:25 door Anoniem
Ik bemerk in veel commentaar dat men onvoldoende op de hoogte is van de security instellingen van iOS7. Men kan er voor kiezen om flight mode aan te kunnen zetten in het lockscreen, je kan het echter ook met het zelfde gemak uitzetten.

Apple heeft er voor gekozen om de gebruiker zelf de mogelijkheid te laten kiezen tussen veel security of meer gemak en dus minder security.

Lees eens een paar artikelen hierover op bijvoorbeeld imore.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure