image

Apple publiceert document over veiligheid iOS

dinsdag 4 maart 2014, 15:47 door Redactie, 0 reacties

Apple heeft een bijgewerkt document over de veiligheid van iOS gepubliceerd, met details over Touch ID, iCloud en andere diensten en onderdelen van het mobiele besturingssysteem. Volgens Rich Mogull, CEO van Securosis, heeft Apple nog nooit eerder zoveel details over de veiligheid en werking van iOS gedeeld.

"Voor de eerste keer hebben we uitgebreide details over iCloud security. Voor security professionals zoals ik is dit als het vinden van een pot met goud naast mijn toetsenbord", aldus Mogull. Zo zou Apple maatregelen hebben genomen waardoor het onmogelijk voor geheime diensten zoals de NSA is om de iCloud keychain wachtwoorden te bemachtigen.

Zelfs als het iCloud-account van de gebruiker is gecompromitteerd of de iCloud-dienst door een externe aanvaller of kwaadaardige Apple-werknemer wordt aangevallen. Via de iCloud Keychain kunnen gebruikers hun wachtwoorden tussen verschillende iOS-apparaten en Mac-computer synchroniseren, zonder dat die informatie voor Apple toegankelijk is.

Keychain

Ondanks de lovende woorden over het document van Apple stelt Mogull dat er nog wel een scenario is waar Apple in opdracht van een geheime dienst de keychain en alle opgeslagen wachtwoorden kan benaderen. De keychain van gebruikers is versleuteld met een sleutel en wordt in de iCloud opgeslagen. De sleutel die voor het ontsleutelen nodig is wordt vervolgens met een nieuwe iCloud Security Code en de publieke sleutel van een Hardware Security Module (HSM) versleuteld.

Apple zou dit proces of de HSM kunnen compromitteren, en zo alsnog toegang tot de keychains en opgeslagen wachtwoorden krijgen. Om de firmware van de HSM echter te wijzigen zijn speciale toegangskaarten nodig, die Apple zegt vernietigd te hebben. Zodra er toch wordt geprobeerd om de firmware te wijzigen of de privésleutel te benaderen, zal de HSM de privésleutel verwijderen. Daardoor zou het scenario van Mogull alleen bij nieuwe registraties werken.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.