Bedoeld als waarschuwing!
De populaire Apple iPhone wordt vooral
zakelijk gebruikt. Beveiliging van de gegevens is dan van groot
belang. Want iedereen kan zijn iPhone verliezen. Of in een bar laten
liggen, zoals een Apple medewerker recent overkwam met een nog geheim
prototype.
Apple weet dat beveiliging van de gegevens van groot belang is en schijft in 'iPhone Business – Security Overview' o.a.: 'iPhone 3GS hardware encryption uses AES 256 bit encoding to protect all data on the device. Encryption is always enabled, and cannot be disabled by users.'.
Waar? Nee, niet waar! CompUsers demonstreerde vorige week zaterdag 29 mei tijdens de Ubuntu 10.04 LTS Release Party, dat dit besturingssysteem heel gemakkelijk toegang geeft tot een groot deel van de gegevens op je iPhone. Vanuit de 'uit' toestand en zonder pincode!
Hoe werkt de beveiliging?
Als je een iPhone met een pc verbindt,
begint de iPhone te 'pairen' met de pc. Daarvoor is de pincode nodig.
Daarna heeft de pc toegang op de gegevens opgeslagen op de iPhone.
Zonder dit 'pairing' proces en dus zonder de pincode heeft de pc alleen toegang tot de foto's in de DCIM map. Dat is heel mooi, want dan kun je zonder de beveiliging prijs te geven overal je foto's van de iPhone afhalen. Immers, het geheugen zit vast in de iPhone ingebouwd, je kunt dus niet een geheugenkaartje uit de iPhone even in een pc of kaartlezer steken.
Kraken met Ubuntu 10.04 kinderlijk eenvoudig.
Met een pc werkend onder het nieuwe Ubuntu 10.04 is de toegang tot de meeste gegevens op een iPhone een fluitje van een cent!
Hieronder een stapsgewijze handleiding:
-
Zet de iPhone uit, sluit deze met het kabeltje aan op een USB-poort en …. wacht enkele seconden.
De volgende stap? Nee hoor, we zijn al klaar. De iPhone wordt automatisch ingeschakeld, vraagt om de pincode maar die geven we niet. Op het scherm van de Ubuntu verschijnt automatisch een icoontje van de iPhone. Als je daarop klikt, heb je de open mappen van de iPhone voor je.
Alle mappen? Nee, dat nou net weer
niet. De telefoongegevens (adressenlijst, SMS-berichten, afspraken
e.d.) krijg je niet te zien. Maar verbaas je niet als iemand op korte
termijn ook dat 'probleem' oplost, want als je eenmaal toegang hebt
tot een 'beveiligd' systeem, dan is het een kwestie van tijd totdat
hackers verder gaan.
En de 256 bits hardware beveiliging van de iPhone? Die geld toch als uitermate moeilijk te kraken?
Dat klopt. Begin daar maar niet aan. Maar och, de Apple iPhone is hier zo vriendelijk om dat keurig voor het Ubuntu systeem hardwarematig te doen. Ongelooflijk, maar waar.
Zie video voor 'hacken' iPhone
Eerst zien, dan geloven. Dat dacht CompUsers ook, toen in e-mailing 2010-14 werd aangekondigd dat het kraken van een iPhone tijdens de Ubuntu 10.04 Release Party zou worden gedemonstreerd.
Op onderstaand filmpje zie je eerst wat een iPhone aan gegevens prijs geeft zonder te 'pairen', dus zonder pincode. Onder bijvoorbeeld Windows XP zie je alleen de inhoud van de DCIM map met foto's.
Daarna laat de 13-jarige Niels aan zijn moeder Jeanine zien hoe hij met Ubuntu 10.04 de gegevens in haar iPhone zichtbaar maakt. Jeanine was er niet gerust op. Terecht, want behalve lees-toegang (en dat is dan al erg genoeg) heeft Ubuntu ook schrijf-toegang. Gegevens erbij zetten is dus mogelijk, maar ook het wijzigen of wissen van gegevens zou kunnen. Nee, zo ver zijn we niet gegaan met de iPhone van Jeanine.
Klik op de afbeelding voor de video:
Wat vindt Apple ervan?
Het kraken van een Apple iPhone werd
eind vorige week bekend gemaakt door de beveiligingsexperts Bernd
Marienfeldt en Jim Herbeck. Ze ontdekten het eigenlijk bij toeval en
hebben het gemeld aan Apple.
De zware beveiliging van een Apple iPhone houdt onder meer in, dat uitsluitend door Apple goedgekeurde programma's ('Apps') op de iPhone werken. Het beveiligingslek is echter aangetoond op alle iPhone 3G en 3GS types 'out of the box', zonder 'jailbreaking' (de bekende methode om een deel van de iPhone beveiliging te omzeilen).
Apple liet aanvankelijk weten het beveiligingslek niet te kunnen reproduceren. Enkele dagen later kon Apple dat wel, maar een oplossing is er nog niet.
Het wachten van miljoenen iPhone gebruikers is nu op een reparatie of update door Apple.
De oorzaak
Het fenomeen wordt misschien
veroorzaakt door een timing aspect. Het werkt alleen als de iPhone
wordt aangesloten terwijl deze uit staat. Ubuntu (maar in principe
heeft het niets met Ubuntu te maken) heeft misschien al toegang
voordat het beveiligingssysteem van de iPhone effectief is.
Dit soort timing-problemen zijn in het algemeen een veiligheidsrisico. Dat kun je thuis uitproberen met een (nog) niet geregistreerd WinRAR programma waarvan de proefperiode van 40 dagen verstreken is. Als je maar snel genoeg een 'geRARd' bestand opent door er op te klikken, dan ben je het nag-screen van WinRAR voor. Maar je moet heel snel zijn!
In het geval van WinRAR levert dat weinig op, want je kunt ook het nag-screen weg klikken en doorgaan met uitpakken. Maar het is toch een leuke demo voor dit soort veiligheidsproblemen.
Onder Windows kan het nog erger
De Duitse uitgever Heise van o.a. het
c't magazine heeft het beveiligingslek ook geconstateerd met
Ubuntu 10.04, maar veronderstelde dat het ook onder andere
besturingssystemen mogelijk moet zijn.
Zij ontdekten dat onder Windows Vista een soortgelijk effect te bereiken is. Maar nog erger dan onder Ubuntu. Onder Vista kon een back-up gemaakt worden van ALLE gegevens op de iPhone, waarna je toegang hebt tot bijvoorbeeld de geheime wachtwoorden en SMS-berichten. Zowel van de iPhone 3G als de nieuwere 3GS. Maar het lukte (om nog onbekende reden) nog niet met elke iPhone.