Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 274, views: 50.295 •
Submitter: T-Junkie

De Chaos Computer Club, een Duitse hackersorganisatie, is er in geslaagd om de vingerafdrukscanner van de iPhone 5s te omzeilen met een foto van een vingerafdruk. Daardoor kan een telefoon die met een vingerafdruk is beveiligd, worden ontgrendeld.

Het omzeilen van de vingerafdrukscanner van de iPhone 5s, die afgelopen vrijdag in de verkoop ging, kostte de CCC relatief weinig moeite, omdat de techniek die de hackers gebruikten ook bij andere vingerafdrukscanners werkt. Wel moest de foto van de vingerafdruk, die op een stuk glas was geplaatst, met 2400dpi worden genomen, een hogere resolutie dan tot nu toe nodig was bij vingerafdrukscanners.

Na het maken van de foto moet er een negatief van de vingerafdruk worden gemaakt, zodat de contouren van de vingerafdruk genoeg contrast hebben. Het negatief dient met een resolutie van 1200dpi met een laserprinter op een transparante sheet worden afgedrukt, waarbij de toner een dikke laag moet achterlaten. Vervolgens moet latexmelk of houtlijm over de vingerafdruk worden gesmeerd. Nadat die laag is opgelost, moet hij van de transparante sheet worden afgehaald. De laag latex of houtlijm kan vervolgens worden gebruikt om de telefoon te ontgrendelen, nadat hij licht vochtig is gemaakt, bijvoorbeeld door er op te ademen.

De CCC, een voorvechter van privacy, stelt dat de hack bewijst dat vingerafdrukken niet geschikt zijn als authenticatiemiddel. "Het is dom om iets dat je niet kunt veranderen en dat je overal elke dag achterlaat te gebruiken als authenticatiemiddel", aldus CCC-woordvoerder Frank Rieger in een verklaring. De organisatie voert al langer strijd tegen vingerafdrukken. In 2008 publiceerde het hackerscollectief de vingerafdruk van Wolfgang Schauble, destijds de Duitse minister van Binnenlandse Zaken, in een tijdschrift.

Reacties (274)

Reactiefilter:-12740261+1155+223+33
1 2 3 ... 6
Haha! Hij is mooi :)
Hebben ze ook lekker snel voor elkaar!

Maarja... Om dit nou echt meteen als reden te gebruiken dat het onbetrouwbaar is...?
Begrijp me niet verkeerd, ik denk dat dat hele vingerafdruk gedoe enorme bullshit is en een grote privacy inbreuk.
Maaarrrrrr, je moet dan dus eerst 1.) Iemands vingerafdruk jatten (okee, wellicht voor sommige mensen niet super moeilijk, maar come on zeg? Onbekenden krijgen dat niet zomaar voor elkaar) 2.) Daarna de telefoon jatten.

Joepie...

Wel een enorm vette hack, trouwens. :)
Hoe kom je er op... Wel slechte scanner dan, trouwens.
De telefoon jatten en de vingerafdruk verkrijgen is dezelfde stap. Heb je gezien hoe mooi de vingerafdrukken op het scherm blijven staan :).
Gebruik een vinger waarmee je het toestel nooit aanraakt, bijv. de ringvinger van je andere hand.
Maar de kans is groot dat, na het unlocken, deze afdruk ook goed zichtbaar op het scherm achterblijft.
Nee, want je unlocked het dan niet op het scherm maar via de vingerprintscanner op de home button.
Waar dus je vingerafdruk op achterblijft ;)
Dus pink gebruiken en deze na scannen vegend van de toestel af laten glijden.
Wel een enorm vette hack, trouwens. :)
Hoe kom je er op... Wel slechte scanner dan, trouwens.
Slechte scanner?
Deze truuk werkt op nagenoeg iedere vingerafdruk scanner. Vandaar ook dat CCC al jaren strijd tegen het gebruik van vingerafdrukken voor belangrijke identificatie.
Hiermee geven ze bijvoorbeeld ook aan dat het dom is de vingerafdruk in het paspoort te verwerken. Het geeft namelijk een vals gevoel van veiligheid. Het toevoegen zorgt er voor dat sommige diensten alleen nog op die vingerafdruk vertrouwen maar hij is enorm makkelijk na te maken.
In een vinger afdruk sensor voor echt zware beweiliging hoort dan ook minstens een temperatuur sensor te zitten zodat je zeker weet dat je bijv. geen afgehakte vinger voor je hebt.en je kunt met 2 electrodes het vochtgehalte in de vinger meten, dus dat is ook een extra controle..
Het vocht lijkt me niet zo'n punt (waterdamp, van ademen) en de temperatuur ook niet.
Druk gewoon met je vinger bovenop het plaatje.

Vingers varieren nogal in temperatuur, dus dat kan nooit te strak zijn afgesteld.
Nogal lullig als je in de winter je telefoon alleen kunt unlocken als je je vinger in je mond hebt gehad en net buiten hebt zitten schijten ergens.
Zo werkt dat niet. In de winter zal het juist goed werken aangezien jou lichaam echt stukken warmer is dan de omgeving, bovendien de temperatuur van een mens zit altijd rond de 37 graden tenzij je slaapt(tussen de organen), daar buiten net onder je huid en ledematen ligt het wat lager en dat varieert redelijk maar zal nooit enorme sprongen naar beneden of boven maken, zo is het menselijk lichaam niet gebouwd en dat zou betekenen dat je dood zou zijn als je temperatuur enorm zou zijn gedaald.

Bovendien klopt het niet wat je zegt, jou eigen smartphone werkt namelijk op temparatuur! Capacitieve touchscreens, alle iPhones hebben het al, dus waarom niet de vingerscanner? Maar dit zal natuurlijk nog steeds de vervalsing niet stoppen, er zijn altijd manieren, maar we weten allemaal dat een 4 cijferige pincode een stuk makkelijker te kraken is en af te lezen dan een vingerafdruk.

En ik denk dat jij de enige bent die buiten loopt te schijten in de winter, je neemt je zelf alleen voor de zeik.

ontopic:
CCC mag dan ze hele leven toewijden aan het aantonen dat vingerafdruk scanner slechte beveiligers zijn, maar het gaat hier om een telefoon, niet om een bank of passpoort of de FBI. Het feit dat je telefoon gestolen is en ontgrendelen kan worden maakt het probleem niet erger dan als hij niet ontgrendelen kan worden. Je kan nog altijd de telefoon volledig blokkeren via apple services bovendien nemen mensen alleen een lock zodat anderen niet in hun telefoon kunnen bladeren, bij diefstal zal vrijwel niemand de bovengenoemde stappen in dit artikel nemen om een telefoon te ontgrendelen. Voor die tijd heeft de eigenaar de telefoon al lang geblokkeerd en anders is hij hoe dan ook al zijn gegevens kwijt.

Het lost dus niks op. Als het in 5 sec was gedaan die hack dan was het een probleem geweest.
37 graden is je kerntemperatuur, je ledematen kunnen behoorlijk kouder of warmer zijn (waar moest vroeger die thermometer ook weer?!?).
Je vingers en je neus zijn een stuk kouder dan 37 graden. Zo uit mijn hoofd is je vinger gemiddeld 31 graden Celcius. Als je met blote handen buitenloopt terwijl het vriest kan dit nog veel lager worden.

In je neus is het gemiddeld 32 graden. Die 37 graden haal je alleen in je core :+
Omgekeerd kan je temperatuur bij sporten door warmteontwikkeling in je spieren flink oplopen. Je lichaam moet dan echt moeite doen om die oververhitting kwijt te raken.

Ondanks al deze behoorlijke Delta T zijn de meeste mensen nog steeds springlevend.

Een smartphone werkt op temperatuur? Leg eens uit? Capacitief is heel iets anders dan temperatuur.
Hahaha, man man, laat jij je even kennen!
1. Zo te zien totaal geen kennis van het menselijk lichaam.
2. Geen gevoel voor humor (poepvinger in mond).
3. Capacitieve touchscreens heeft niets met temperatuur te maken.
4. waarom reageer ik hier eigenlijk op.
Ik heb het maar even opgezocht, ik had het inderdaad mis over capacitieve schermen, iedereen maakt fouten. En je vind het niet grappig maar jou voorbeeld is gewoon vrij apart. Buiten schijten in de winter, ik zou m'n telefoon niet eens willen aanraken als ik mijn handen niet heb kunnen wassen na het schijten. Binnen of buiten.
Daarom zeg ik ook, je hebt geen gevoel voor humor/ironie.
Dan stop je je vinger maar in je neus als je kont te vies is.
Een telefoon staat vol met vingerafdrukken ! Je kan bij manier van spreken eigen gewoon een briefje erop kleven met een pincode

Tja, slechte scanner. Zijn er dan goede scanners van dit formaat ? Toen ik las over vingerafdruk sensor, kreeg ik direct al huiveringen.
Daarom heb ik een iPhone 5 genomen, verwacht dat de 6 dit straks ook niet meer heeft.
Ik vind vingerafdrukken te ver gaan, daar waar je er een hoop mee kunt tegenwoordig.
Je hoeft het natuurlijk niet persé te gebruiken.
Dat begrijp ik, maar als het er op zit, valt het wellicht te hacken en op die manier kan men nog je vingerafdruk "stelen". Je drukt immers vaak genoeg die home knop in..
Als ze je vingerafdruk echt willen dan krijgen ze hem heus wel. Of doe je altijd netjes latex-handschoenen aan voordat je iets gebruikt?

Je kunt je iPhone gewoon jailbreaken en een app schrijven die controleert of de vingerafdruk-sensor niet wordt geactiveerd terwijl je hem niet aan hebt gezet - als je niet gelooft dat hij uit blijft staan. Als dat dan wel zo is dan heb je meteen groot nieuws ;)
Je stemt met je portemonnee dus als je het niet wilt moet je het vooral niet kopen en dan ombouwen, dan geef je 0,0 signaal af naar Apple/aandeelhouders...

Daarbij geloof ik niet dat ze direct misbruik zouden maken van dit soort functies, eerst in laten burgeren en iedereen de gevaren laten vergeten, en dan toeslaan :)

Wil overigens niet zeggen dat ik overtuigd ben dat het misbruikt gaat worden hoor, maar ik ben ook niet overtuigd dat het niet misbruikt gaat worden.
Waar slaat dat nou weer op het is gewoon globaal toegepaste taktiek wat overal voorkomt, bij mensen thuis (stiekem wat groente door het eten van je kleine doen, en vooral niet zeggen dat het groente is), in de politiek, bij bedrijven, op websites...

Een tactiek die zich al eeuwen heeft bewezen...

[Reactie gewijzigd door watercoolertje op 23 september 2013 14:59]

Wat dacht je van als ze je telefoon echt willen inkomen lukt het ze toch wel. Alle software is te hacken

[Reactie gewijzigd door GameR! op 23 september 2013 11:10]

Ja, ik laat ook altijd al m'n ramen en deuren open staan met een briefje erbij wanneer ik weer thuiskom, want als ze in willen breken, breken ze toch wel in.
Ja maar aan de gegevens heb je dan nog niets. Of je hebt een supercomputer ter beschikking om deze encryptie te verwijderen.. Maar als het zo belangrijk is zou ik die gegevens niet op je telefoon zetten ;)
Als je vingerafdruk (of beter: haar kenmerken) niet in de processor staat is deze natuurlijk ook niet uit te lezen. Sowieso kunnen apps niks met de vingerafdruk, het enige dat ze kunnen is een ja/nee opvragen. Deze 1 of 0 wordt buiten iOS gegenereerd (beveiliging 101). Hoe veilig de methode (intern) blijkt valt nog te bezien maar de functie is op hardware gebouwd en niet een last-minute software toevoeging
En hoe gaan ze die vingerafdruk "stelen" als je het niet gebruikt? Je moet eerste je vingerafdruk meerder malen scannen voor je hem kan opslaan. En men slaat geen afbeelding op van je vingerafdruk. Je vingerafdruk is een string die niet uit te lezen valt als vingerafdruk.

Men zal sneller je vingerafdruk van het scherm kunnen halen dan uit de iPhone zelf.
Je hoeft hem niet te gebruiken..... Je kan ook gewoon een pin instellen. Dus aan jou de keuze.
Vingerdruk scanners zijn dan nog steeds vrij veilig voor ons.. ;)

Geen normale dief die dit even kan na apen ;)
Je hebt kennis nodig, vrij bijzondere printer die laagjes kan printen die zijn vrij duur.

Dus nee het is niet zo makkelijk maar vergeet ook niet dat we diverse scanners hebben. BV de doane in de US gebruikt optical scanners.. Die meten geen warmte maar lezen met infrarood je vinger gewoon af. Dat zijn de minst veilige scanners voor authenticatie.

Dan heb je ook nog touch sensitive scanners. Die kunnen een hart slag meten en zien of een vinger leeft of niet .daar werkt zo'n naamaak vingerafdruk niet zo maar op.

Ook nog simpele vinger afdruk scanners die alleen meten of er weerstand.. die zijn ook vrij onveilig.

Daarnaast key cards zijn ook niet heel veilig en worden ook nog dagelijks gebruik.. Sorry maar ik vind dat er steeds meer overtrokken wordt..
Wat mij alleen opvalt is dat dezelfde vinger van dezelfde persoon als 'nepvinger' wordt gebruikt. Werkt het ook als deze 'nepvinger' door iemand anders wordt gebruikt?
Hij gebruikt zijn middelvinger als nepvinger.
laat ze maar bewijzen dat het met een andere persoon ook werkt

want het apparaat zou ook gebruik maken van de electrische weerstand van de persoon?
en die is het zelfde bij je middel vinger als je de zelfde persoon hebt.
laat ze maar eens bewijzen dat het werkt met andere persoon. dan pas geloof ik de hack.
Heb je gelezen wat ze hebben gedaan en een basaal begrip van hoe vingerafdrukken uitgelezen worden?

Zo nee, zou ik adviseren om je eens in te lezen.

Welke persoon de nepvingerafdruk gebruikt maakt niet uit, zijn eigen vingerafdruk is voor het apparaat onzichtbaar. Idem zijn huidweerstand. Die kan zomaar van een paar kilo-ohm tot een paar mega-ohm per centimeter varieeren bij dezelfde persoon. Er zal dus gemeten worden of er een zekere weerstand aanwezig is om plastic vingerafdrukken lastiger werkend te maken, en niet of de gemeten weerstand precies 121,3k is.
Deze methode wordt al jaaaren gehanteerd om allerhande vingerprint scanners om de tuin te leiden.

Verassing: de scanner van Apple is er ook mee te foppen. Het is zelfs een verassend goede gezien reguliere scanners (b.v. die in laptops) met minder detail genoegen namen.

Geloof de hack of niet aan de hand van dit voorbeeld. Klassieke hacks ontkennen zou ik persoonlijk nooit publiekelijk durfen, maar goed, zonde van een ieders tijd om erover te discussieren.

Nog iets anders, ik kan met m'n echte vinger de laptops van twee van mijn ooms ontgrendelen na een klein aantal (<5) pogingen ontgrendelen gezien we dezelfde soort structuur lus-vingerafdrukken hebben. 1200 dpi vingerafdruk scanners zijn gewoon niet echt een sterke beveiliging. (net als b.v. die zinloze gezichtsherkenning ontgrendeling)
Handig om te weten, als ik nu dus me middelvinger opsteek hoeft niemand me meer kwaad aan te kijken. Het is immers me nepvinger.
Kans dat de middelvinger ook geautoriseerd was maar dat acht ik onwaarschijnlijk
Wat mij alleen opvalt is dat dezelfde vinger van dezelfde persoon als 'nepvinger' wordt gebruikt.
Bij jouw is je wijsvinger dezelfde vinger als je middelvinger?

Wel dezelfde persoon wat inderdaad wat vragen teweeg zal brengen, maar wel degelijk een andere vinger!
Euh... Ze hoeven voor mij enkel mijn drink bidon tijdens het sporten te pakken of even langs mijn werk. Heel mijn bureau zit er onder. Ze hebben dan zelfs een keuze, want blind typen met 10 vingers betekent dat elk vinger wel te vinden zal zijn op mijn toetsenbord en/of muis en/of werk telefoon.
Volledig mee eens. Het is net zo eenvoudig om met iemand 'mee te kijken' of 'een video op te nemen' terwijl hij z'n code intypt.
In de praktijk is het zo dat, net zoals mensen om mij heen niet proberen m'n code te lezen terwijl ik hem intype, ze ook geen 'fingerprint forgery workshop' gaan volgen om via m'n vingeradruk toegang te krijgen tot mijn (gestolen) telefoon.

De veligheid welke een gemiddelde (meestal 4 cijferige) 'toegang code' biedt is mijns inziens gelijk aan de veiligheid van een vingerafdruk. En dat is voor 99% van de mensen dan ook voldoende.

Mijn persoonlijke mening: storm in een glas water, media hype.
[bij nader inzien, laat ik maar niet in detail treden. Deze aanpak is op zich al zo oud, dat het wel duidelijk is dat je met een investering onder de ¤1000 alles in huis haalt om deze hack te kunnen doen.] DSLR met 1.2:1 macro en 8mpix sensor zou voldoen voor een aantal vingerafdrukken op een telefoon. Nee inderdaad, dat je kan niet even snel in een openbaren ruimte doen, maar als je het toestel snel met minimaal contact weg kan stoppen kan je prima met de aanwezige vingerdrukken werken. Laptops waren een extreem gemakkelijk doelwit bleek in het verleden al.

Gezien in wat voor mate lui op b.v. festivals toestellen wisten te jatten dit en vorig jaar, is het een relatief kleine investering om de juiste spullen te bemachtigen.

Het probleem is dat deze criminelen nu niet een toestel hebben dat ze formateren en verkopen (dezelfde dag nog in het buitenland...) maar dat ze nu ook nog even rond kunnen kijken op het toestel.

De scanner is niet slecht, het idee achter de vingerafdrukscanner in het algemeen is niet zo heel handig. Je laat er immers de hele dag overal klonen van deze "sleutel" achter. Daarnaast is de uniciteit van je vingerafdruk voor de gemiddelde sensor ook niet echt een feit. Deze scanner is met z'n 2400dpi nauwkeurigheidsvereisde in deze hack eigenlijk een zeer goede.
Volgens mij is deze vingerafdruk beveiliging ook niet bedoeld als een waterdichte beveiliging, maar meer als een snelle, gebruiksvriendelijke beveiliging die ervoor moet zorgen dat meer consumenten er gebruik van maken, in plaats van niets.
Maar met de vingerafdruk krijg je toegang tot alles wat je bij apple hebt opgeslagen, en dat kunnen hele persoonlijke dingen zijn.
Nou goed, maakt niet veel uit hoor.
Stel ik vind jou telefoon waar een pincode opstaat, dan verwijder ik de pincode en heb ik alsnog al jou gegevens, zo geld dat ook voor een patroon of gezichtsherkenning.

Ik heb niks met Apple (Waarom ik dat zeg weet ik niet...) maar de vingerafdruk is dus net zo onveilig als de andere huidige beveiliging methodes, waarschijnlijk een tikkeltje veiliger doordat je vingerafdruk niet afgelezen kan worden met de ogen, zoals een pincode intikken wel.
Als je een telefoon vind........ Hoe weet je dan de pincode??????
Zie mijn reactie hieronder. Ik hoef geen pincode te weten, ik verwijder ze. Of kan ze aflezen en dus opslaan zonder de pincode te verwijderen...

NOGMAALS
Gohan040, lees mijn reactie hieronder aub. Ik steel niks en kijk niks af. Ik hoef helemaal het OS niet in om het wachtwoord te verwijderen?

[Reactie gewijzigd door JeroenC op 23 september 2013 08:12]

Als je een toestel vind met een pincode, hoe kan je deze dan verwijderen? Aflezen is niet mogelijk, je hebt hem namelijk gevonden.

Lees je hem wel eerst af?, dan is het niet meer "vinden" maar waarschijnlijk stelen....................
hij heeft het over GEGEVENS aflezen en niet de pincode.
of je hem nou gestolen of gevonden hebt maakt in dit geval niet uit.
hij zegt dat die de gegevens kan lezen door gewoon de pincode of andere beveiliging te verwijderen (dus via de pc "hacken" of iets in die richting.)
Ja maar je kan geen gegevens uit een iPhone lezen, want de schijf is geencrypteerd.

Als je de iPhone reset, dan wordt de encryptiesleutel ook gewist en is data op de schijf nutteloos.

Een iPhone is dus zeer veilig bij diefstal: tenzij je de pincode weet kan je niks zien.
Het is mij enkele keren gelukt om mijn iPhone 4S uit te lezen via USB zonder de lockscreen eraf te halen.
Dan zit je gewoon bij het bestandssysteem ..
Wellicht dat de bestanden wel encrypted zijn, maar de schijf zeker niet.
Behalve als je "zoek mijn iphone" hebt geactiveerd. Dan kun je als dief niks meer. Je kunt de iPhone zelfs niet herstellen zonder de pincode in te geven. Daarnaast kan de eigenaar met 1 druk alle gegevens verwijderen.

Maar goed de pincode verwijderen gaat dus niet zonder de pincode te kennen. Ook niet door het te hacken met een pc.

disclaimer: Ik heb niet getest of je hem wel nog kunt herstellen in DFU mode. Misschien wel interessant om eens te proberen.
Je kan hem herstellen via DFU, maar zal nog steeds naar de Apple id vragen wanneer je deze opnieuw probeert te activeren.
Een gestolen iPhone wordt gewoon volledig geflashed middels kabel. DFU mode is de standaard 'gebruikers' methode.

In dit geval werkt elke beveiliging niet meer. Net zoals 'find my iPhone' dat werkt dan ook niet meer.

Een iPhone uitlezen kan ook in iOS6. Zelfs als die gelocked is.
Voor iOS7 weet ik het nog niet, eerst checken.

Maar zoals CCC zegt, die vingerafdruk is schijnveiligheid.
Zook de nieuwe unlock screen met nummers.

Aan de andere kant is een vingerafdruk ook het gemak voor de gebruiker.
Ik ben van mening dat voor de gemiddelde gebruiker de vingerafdrukbeveiliging afdoende is om de iPhone te beveiligen.
Er is niet veel geheim, maar zo hoeft niet 'jan en alleman' met zijn tengels bij de iPhone.

Dus superveilig is het niet, maar voor de consument een welkome aanvulling op het lockscreen.

Wat ik wel zie gebeuren is dat bi Apple 'hardware na 1 of 2 jaar' defect raakt. (Die hebben een puike MTBF in het productieproces).
Wat ik hier bij gebruikers heb die 'fingerprint readers' gebruiken....als ze opeens hun wachtwoord moeten gebruiken....zijn ze die vergeten. Dat zal met de iPhone5s ook zo zijn...moet je na een jaar opeens je pincode invullen.....euh |:(
Dat flashen werkt niet in iOS7 want je moet toestemming geven om een vreemde computer via de lightning kabel aan te sluiten op je iPhone. Het enige waar je geen toestemming moet voor geven is een stroom adapter.

Je moet je pincode gebruiken als je je telefoon terug aanzet nadat je die hebt uitgezet (power off) of wanneer je hem 2 dagen niet gebruikt. Dus je zal die pincode al veel sneller moeten gebruiken dan pas eens om de 2 jaar. Is je iPhone batterij volledig leeg gelopen dan zal je dus je PIN moeten gebruiken om hem terug te gebruiken eens je begint met opladen.

Verder kan je een iPhone pin code veranderen via iTunes. Moet je wel je iPhone aan iTunes op een PC of Mac gelinkt hebben.

[Reactie gewijzigd door olapola op 23 september 2013 11:17]

Nou ik vind anders toch geen reactie van je terug over hoe jij de pincode kan verwijderen in iOS. Blijkbaar vergeet jij dat je een iPhone op afstand kan blokkeren. En dan mag jij nog zoveel proberen als je wil maar je komt er echt niet meer in of je zou de persoon waar van je het toestel hebt gestolen een revolver tegen zijn hoofd moeten houden om zijn iCloud paswoord te verkrijgen.

Maar gaan we dit nu echt doen voor een telefoon? Kan je beter een Android pikken want daar heb je dat soort beveiliging niet in en hoef je je crimineel leven niet naar de next level te trekken ;)
Um ik weet niet of jij mij beledigd door te zeggen: je crimineel leven..
Ik volg cellebrite cursussen samen met bepaalde mensen van de politie, ik ben gewoon clean hoor?

Maar zoals ik al aangaf, de blokkade in IOS7 om de telefoon op afstand te blokkeren weet ik ook nog niet hoe ik de blokkade eraf kan halen, ik ben er niet zozeer mee bezig, het is mijn werk niet om dat te doen.
De kans is echter zeer groot dat het gewoon mogenlijk is om de informatie eraf te halen, het staat immers gewoon in het toestel, met of zonder blokkade, de informatie staat op de telefoon.

En ik zal het iets duidelijker uit proberen te leggen, hoewel ik dat al gedaan heb in korte woorden:

Ik sluit de iPhone aan op de cellebrite, en ik druk met mijn vinger op het touchscreen van de cellebrite, op de optie: wipe password. En klaar?
Volgens mij kijk jij teveel films doordat je over revolvers en ik weet niet wat begint?

[Reactie gewijzigd door JeroenC op 23 september 2013 09:07]

Dat truukje lukt je helaas niet bij nieuwere devices (>= 4S) of devices met een voldoende lange PIN. De iOS-implementatie van locking en encryptie is daarmee stukken beter dan bv. Android (secure boot icm. hardware-tied crypto).

Los daarvan: een PIN/vingerafdruk volstaat op iedere willekeurige smartphone prima als bescherming tegen diefstal - de enige reele aanval is een naieve 'handmatige' bruteforce attack.

[Reactie gewijzigd door Thralas op 23 september 2013 10:02]

De kans is echter zeer groot dat het gewoon mogenlijk is om de informatie eraf te halen, het staat immers gewoon in het toestel, met of zonder blokkade, de informatie staat op de telefoon.
Nee dat kan niet. Alle informatie is versleuteld, dus je kunt die niet "zomaar uitlezen" zonder dat je de sleutel hebt.
Ik sluit de iPhone aan op de cellebrite, en ik druk met mijn vinger op het touchscreen van de cellebrite, op de optie: wipe password. En klaar?
Dit weet ik niet zeker, maar volgens mij moet je voor het verwijderen van de pincode echt de pincode invoeren en kan dat niet met je vingerafdruk.
Nee ik probeer je niet te beledigen ik maakte enkel een grapje over het feit dat je beweert dat je PIN codes van iPhones verwijderd als je die ergens vindt. Dat is crimineel gedrag. Een gevonden iPhone dien je bij de politie binnen te brengen. Dus nee ik noem je geen crimineel want ik ga er vanuit dat je een gevonden iPhone gewoon naar de politie brengt of naar de rechtmatige eigenaar zonder de iPhone te hacken.

Maar ik denk dat vooral omdat ik bijna zeker bent dat jij geen PIN van een iPhone kan verwijderen.
Natuurlijk ga je dat niet doen.
Net zo min dat als je een iphone vind, stel in de trein, dat je de hele trein op vingerafdrukken gaat nazoeken van die persoon en dan met scanners en houtlijm in de weer gaat. Doet geen mens, dan laat je hem gewoon resetten in een of andere telefoonwinkel op de hoek. Het boeit geen mens wat voor gegevens er op staan, gaat meer om het gebruiken van de telefoon dan.

En oejee ben bang dat er een sollicitatiebrief of foto van je icloud gelezen wordt. Als je daar bang voor bent moet je ze van het toestel afhalen en ergens thuis op een usbstick of harde schijf neerzetten.

[Reactie gewijzigd door Chrosser op 23 september 2013 09:32]

Deze vingerafdruk-beveiliging is net zo onveilig als een PIN-beveiliging als je je PIN op de achterkant van je toestel geschreven hebt.

Naast je vingerafdrukken die daar al zitten...
Deze vingerafdruk-beveiliging is net zo onveilig als een PIN-beveiliging als je je PIN op de achterkant van je toestel geschreven hebt.
Dat is maar de vraag.

Een voor deze methode bruikbare vingerafdruk van het toestel zelf halen lijkt me een heel stuk lastiger dan de gecontroleerde methode zoals CCC dat heeft gedaan.

Daarnaast moet je ook nog de voor de authenticatie gebruikte vinger(s) weten want na 5 pogingen moet je alsnog de passcode invoeren.

En wat als ik b.v. een vinger van mijn niet dominate hand heb gebruikt?
De kans dat je daarvan een bruikbare afdruk vindt is praktisch nul.

[Reactie gewijzigd door Carbon op 23 september 2013 09:34]

Op de vingerafdrukscanner zelf...?
Op de vingerafdrukscanner zelf...?
Dat gaat alleen lukken als je iedere keer dezelfde vinger op exact dezelfe plaats houdt wat natuurlijk nooit het geval is.

[Reactie gewijzigd door Carbon op 23 september 2013 13:09]

Nou goed, maakt niet veel uit hoor.
Stel ik vind jou telefoon waar een pincode opstaat, dan verwijder ik de pincode en heb ik alsnog al jou gegevens
Not good enough.
De vingerafdruk op het Apple toestel zorgt er voor dat je je überhaupt niet meer hoeft te identificeren. Gebruik je de vingerafdruk niet dan heb je op veel plaatsen nog een wachtwoord nodig.

[Reactie gewijzigd door Croga op 23 september 2013 08:00]

Klopt maar het is niet de laatste stap in het beveiligingsproces. De touch ID dient gewoon om het paswoord te vervangen omdat veel mensen geen paswoord instellen.

Vermits je nog steeds het toestel in je bezit moet hebben is deze dus gestolen en ga je over naar de volgende stap en dat is je toestel blokkeren.

Dus ja hij is wel gehackt maar het plaatje blijft nog wel steeds hetzelfde als voorheen. Voor een crimineel je toestel kan hacken is het toestel in de meeste gevallen al lang geblokkeerd. Zet je het toestel uit om dit te voorkomen dan geraak je er ook niet meer in via Touch ID wanneer je het toestel terug aanzet.

[Reactie gewijzigd door olapola op 23 september 2013 08:50]

Je moet niet vergeten dat je dan ook toegang hebt tot alle aankopen, waarbij je wachtwoord je vingerafdruk is.
Als mensen moeten kiezen tussen "50x per dag een pincode intypen" en "niets", dan kiezen ze vaak voor "niets" ---> telefoon jatten = toegang tot gegevens.

Als mensen moeten kiezen tussen "50x per dag vinger op de homeknop leggen, wat je toch al moest" en "niets", dan kiezen ze voor "50x per dag vinger op de homeknop leggen" ---> telefoon jatten = geen toegang tot gegevens, tenzij je telefoon zo belangrijk is dat ze een 2400DPI foto van je vinger gaan nemen, die printen op een sheet etc. etc.

En als je data zo belangrijk is, dan heb je toch allang een superlange toegangscode genomen i.p.v. een PIN van 4 cijfers of een vingerafdruk...
Er zijn wel een paar opmerkingen. Om te beginnen gaf Apple aan dat deze scanner enkel werkt wanneer het in contact komt met huid en dat het de onderhuidse lagen scant, dit blijkt dus niet het geval te zijn het maakt enkel een foto van hetgeen wat erop gelegd wordt. Daar staat wel tegenover dat alles eigenlijk als ID gebruikt kan worden, dus behalve je duim kun je ook iets anders erop leggen (de vraag is of dit wenselijk is in het publiek).
Er zijn ook berichten vanuit de US dat je eigen veiligheid tegenover de justitie hier in het gedrang komt. Zwijgplicht geld namelijk niet voor je vingerafdruk. Een code kun je weigeren je vinger niet. Uiteraard heeft de Amerikaanse politie wel tools om dit zonder problemen te omzeilen.
Mijn grootste hekelpunt is dat Apple een partij is die meermaals heeft aangetoond dat ze niet te vertrouwen zijn. Meer informatie wordt gedeeld dan ze altijd kenbaar maken, denk maar terug aan hoe jou persoonlijke locatie constant wordt doorgegeven aan de Apple servers. Wie zegt dat behalve het storen in de lokale geheugen dit niet gebeurd? We staan op onze hakken wanneer het om de biometrische gegevens voor een paspoort ging maar dit is wel acceptabel? Ik vertrouw een zeer commercieel bedrijf minder dan onze overheid.

---edit---
Overigens typisch dat een negatieve reactie Apple die enkel de feiten neerlegd -1 or 0 votes krijgt.

Iedere producent maakt wel eens een blunder echter zoals ik al aangaf dit is een andere orde. Het product werkt helemaal niet zoals Apple aangeeft, het is een basale CMOS dat helemaal niet verder dan de oppervlakte bekijkt. Daarnaast is het uiterst risicovol dat jou vingerprint in Apples database toch "perongeluk" terechtkomt en vervolgens bij 3e. Zoals Apple voorheen ook locatie-data verzamelde terwijl ze aangaven dat dit niet het geval is.

[Reactie gewijzigd door n4m3l355 op 23 september 2013 11:10]

Dan zal je terug moeten naar een simpele nokia telefoon of alles uitzetten op je smartphone.
Want wat denk je dat er met je gegevens gebeurd op een android telefoon.
En als je iphone gestolen wordt dan denk ik niet dat de dief even een hele toer gaat uithalen om je vingerafdruk na te maken. Hij maakt het clean en verkoopt hem.
Ik denk ook dat een apple of android telefoon even makkelijk te hacken is maar omdat het apple is wordt er altijd over gezeikt en over android niet.
Smartphones (apple en android) zijn gewoon hele leuke dingen waar je veel mee kan doen.
En als je bang bent voor veiligheid dan moet je gewoon geen smartphone nemen.
Nou nee, er word altijd geklaagd dat Android een onveilig systeem is, en Apple bekend staat om stabiliteit en veiligheid. Terwijl het steeds vaker in het licht komt met tegenargumenten.

Daarbij is geen enkele telefoon veilig, tenzij je hem laat encrypte maar dan ga je terug naar de blackberry 9 serie.

Maar volgens mij heeft IOS7 de optie om je telefoon te locken wanneer je hem verliest, waardoor het toestel onbruikbaar word. Dit is ''nog'' niet te omzeilen voor de huis en tuin gebruiker. Wellicht dat de jailbreak makers er iets op weten te verzinnen, maar dat is nog niet mogenlijk.
Ben het hier volledig mee eens. Begrijp er werkelijk niks van dat Apple op dit moment niet de hele publieke opinie over zich heen krijgt met die vingerprintscanner. Waarom niet?
  • Als beveiliging is het waardeloos. Zoals in het artikel aangetoond is het relatief eenvoudig te omzeilen;
  • Tevens is het als beveiliging ronduit gevaarlijk. In tegenstelling tot een code of een tekenpatroon kun je je vingerafdruk nooit wijzigen;
  • Je moet in deze tijd wel bijzonder naļef zijn om Apple's verhaaltje dat de vingerprint de telefoon niet zal verlaten zomaar klakkeloos te geloven. Zeg niet dat het zo is, maar Apple cs. hebben de laatste maanden redelijk de schijn tegen gekregen als het op beveiliging en het delen van informatie met derden aankomt.
  • Er is geen enkele mogelijkheid om de scanner niet te gebruiken. Ook al heb je de functie niet ingeschakeld, toch zul je telkens met je duim op die scanner moeten drukken om de telefoon te kunnen gebruiken.
Je moet in deze tijd wel bijzonder naļef zijn om Apple's verhaaltje dat de vingerprint de telefoon niet zal verlaten zomaar klakkeloos te geloven. Zeg niet dat het zo is, maar Apple cs. hebben de laatste maanden redelijk de schijn tegen gekregen als het op beveiliging en het delen van informatie met derden aankomt.
Zou je hier iets meer over kunnen uitweiden met eventuele bronnen?? Volgens mij heb ik namelijk iets gemist..
Er is geen enkele mogelijkheid om de scanner niet te gebruiken. Ook al heb je de functie niet ingeschakeld, toch zul je telkens met je duim op die scanner moeten drukken om de telefoon te kunnen gebruiken.
Als de scanner uitstaat, dan wordt de scanner niet gebruikt, dus je wordt helemaal niet gedwongen.. Dit is hetzelfde als een camera op je telefoon, deze staat toch ook niet aan als je je camera-app niet aan hebt staan?

Daarnaast ben je geheel vrij om een andere telefoon te kopen..
Lag jij de voorije maanden onder een steen te slapen ofzo?

Snowden, NSA, Fisa courts... Belletje?
Aangezien Apple een Amerikaans bedrijf is, heeft de VS door de Patriot Act volledige toegang tot alles wat van Apple is, als ze dit noodzakelijk vinden om de veiligheid te garanderen. Een geheime rechtbank (Fisa) zal hierover een geheime uitspraak doen die door Apple niet bekend gemaakt mag worden.
Je zal dus nooit te weten komen dat de VS jouw info opvroeg.

En dan hebben we het nog niet over het feit dat de NSA alles hackt en logt zonder toestemming, in overtreding met de grondwet, maar uit "nationale veiligheid" en er mee weg komen. En al helemaal als het niet-VS-staatsburgers zijn, want die hebben helemaal geen rechten.
Nee, ik heb niet onder een steen gelegen en dit allemaal meegekregen.. Maar in de reactie wordt Apple aangehaald, dat die niet te vertrouwen zijn.. Maar het gaat dus blijkbaar om de NSA die niet te vertrouwen is (of anders in ieder geval alle amerikaanse bedrijven). Dus welke smartphone moet je dan kopen? Android, Blackberry OS en Windows Phone zijn ook van amerikaanse bedrijven en daar loop je dus net zo veel kans dat de NSA gegevens over je verzameld.
BlackBerry is tot nu toe nog Canadees. Dit kan veranderen door de onzekere toekomst van RIM, maar nu is't nog Canadees. Wat trouwens niks wil zeggen, als Amerika zegt: Spring, vraagt Canada: hoe hoog?
Oops.. my bad.. :) Maar inderdaad, denk niet dat het heel veel uit maakt.
Misschien ben ik nu naļef maar je kan gewoon een leuke sticker op je homeknop plakken, het is misschien lelijk maar je gebruikt nooit de vingerafdrukscanner.
Waarom de publieke opinie niet over Touch ID valt is omdat het niet het einde van het beveiligingsproces. Apple heeft Touch-ID niet nodig om het sterkste beveiligingsproces te hebben. Find my iPhone is wat de iPhone veiliger maakt dan andere smarttphones.

Touch ID is altijd voorgesteld als een eerste stap in het beveiligingsproces niet als het ultieme proces dat je iPhone moet beschermen.
Je motivaties zijn, in mijn optiek, er nogal aan de haren bij getrokken.

"Als beveiliging is het waardeloos. Zoals in het artikel aangetoond is het relatief eenvoudig te omzeilen"

Ik weet niet wat jij eenvoudig vindt, maar ongemerkt een vingerafdruk van je slachtoffer in 2400DPI resolutie verkrijgen, dit met een laserprinter afdrukken op 1200 DPI op een transparant, insmeren met latexmelk en dat vervolgens uittesten, vind ik alles behalve eenvoudig. Daarbij nog de aanname dat je de juiste vinger hebt.

"Tevens is het als beveiliging ronduit gevaarlijk. In tegenstelling tot een code of een tekenpatroon kun je je vingerafdruk nooit wijzigen"

Je vingerafdruk OP JE VINGER wijzigen is natuurlijk onzin. Maar je hebt 10 vingers, dus het wijzigen van je vingerafdruk als authenticatiemiddel is wel degelijk mogelijk. Neem simpelweg een andere vinger. Daarnaast, worst case scenario, kun je schijnbaar zelfs tenen en je neus gebruiken.

"Je moet in deze tijd wel bijzonder naļef zijn om Apple's verhaaltje dat de vingerprint de telefoon niet zal verlaten zomaar klakkeloos te geloven. Zeg niet dat het zo is, maar Apple cs. hebben de laatste maanden redelijk de schijn tegen gekregen als het op beveiliging en het delen van informatie met derden aankomt."

Dit lijkt mij geen Apple specifiek probleem maar eerder een Patriot Act 'probleem'. In de VS is men nogal snel met het vaarwel zeggen van de privacy in het kader van 's lands veiligheid. De eigen privacy als ook die van alle andere burgers ter wereld. Als dat je uitgangspunt voor het leven is, adviseer ik je je Alufoil hoedje op te zetten en je ouwe PTT T65 in ere te herstellen om te voorkomen dat iets uit je leven wordt gejat. Dat gaat uiteraard wel ten koste van wat moderne gemakken als bereikbaarheid en informatievoorziening, maar je moet wat over hebben voor je privacy :)

"Er is geen enkele mogelijkheid om de scanner niet te gebruiken. Ook al heb je de functie niet ingeschakeld, toch zul je telkens met je duim op die scanner moeten drukken om de telefoon te kunnen gebruiken"

Je gaat ervan uit dat uit niet uit is. Wanneer je geen scan opslaat, er toch een scan gemaakt wordt die vervolgens door de NSA naadloos uit je 5S getoverd wordt. Ongetwijfeld kan dit aangetoond worden en dat zal ook vast wel een keer gebeuren. Dat is in principe in het verlengde van je vorige statement.

Niemand dwingt je om mee te gaan met de moderne tijd. Je argumenten zijn in ieder geval voor mij niet steekhoudend. Dus waarom Apple niet de hele publieke opinie over zich heen krijgt, vind ik logisch. Dat was ook niet de bedoeling van het CCC toen ze deze hack deden. De CCC wil aantonen dat een vingerafdruk geen waterdicht identificatiemiddel is. De conclusies die jij hieruit trekt zijn op z'n zachtst gezegd apart.

[Reactie gewijzigd door Froos op 23 september 2013 11:56]

"Je moet in deze tijd wel bijzonder naļef zijn om Apple's verhaaltje dat de vingerprint de telefoon niet zal verlaten zomaar klakkeloos te geloven. Zeg niet dat het zo is, maar Apple cs. hebben de laatste maanden redelijk de schijn tegen gekregen als het op beveiliging en het delen van informatie met derden aankomt."

Dit lijkt mij geen Apple specifiek probleem maar eerder een Patriot Act 'probleem'. In de VS is men nogal snel met het vaarwel zeggen van de privacy in het kader van 's lands veiligheid. De eigen privacy als ook die van alle andere burgers ter wereld. Als dat je uitgangspunt voor het leven is, adviseer ik je je Alufoil hoedje op te zetten en je ouwe PTT T65 in ere te herstellen om te voorkomen dat iets uit je leven wordt gejat. Dat gaat uiteraard wel ten koste van wat moderne gemakken als bereikbaarheid en informatievoorziening, maar je moet wat over hebben voor je privacy.
Dit wil ik persoonlijk wel bij Apple neerleggen. Niet dat zij rechtstreeks verantwoordelijkheid dragen voor wat de NSA doet, maar als je weet dat de NSA te pas en te onpas alle gegevens van idereen op iedere mogelijke manier probeert te vergaren, dan moet je niet met zoiets aankone als een fingerprintscanner.

Apple heeft namelijk willens en wetens deze feature opgedrongen, er is namelijk inderdaad geen manier om het niet te gebruiken, dus iedereen die al jaar en dag Apple producten afneemt, heeft nu opeens die keuzen: of meegaaan, of overstappen naar een ander product.

Ik neem het Apple wat dat betreft zeker kwalijk dat ze hun gebruikers voor deze keuze stellen, nog erger dat iedereen Apple da hand boven het hoofd lijkt te houden. Je kan er donder opzeggen dat zoiets in opspraak komt, zeker nu inlichtigen diensten privacy aan hun laars lappen.

Dus ja, ik zou dit wel bij Apple neer willen leggen, zij hebben iemmers hier bewust voor gekozen.

@Froos:

Totaal niet eens met jouw stelling, iedereen en hun oma weet wat de NSA doet de laatste paar maanden, om dan als Apple een fingerprint scanner te nemen is op zijn zachtst gezegd risicovol. Ik heb ook netjes gezegd dat dit de keuze is van Apple, maar je -weet- gewoon wat er gebeurd op de achtergrond, daarom is de keuze op zijn minst dubieus te noemen. Ze werken dan misschien niet samen met de NSA, maar ze werken het zeker niet tegen.

[Reactie gewijzigd door Nazanir op 23 september 2013 16:18]

Uiteraard mag jij dat vinden. In dat geval wil ik een soortgelijk krom statement aan je voorleggen:

"De politie is schuldig aan het schenden van privacyrechten wanneer ze jou staande houden en je papieren vragen terwijl je alleen maar fout hebt geparkeerd."

Fout parkeren is geen misdaad, het is een overtreding van de lokale orde. Het parkeerbeleid wordt bepaald door de gemeente. Toch vind jij dat de politie schuldig is wanneer ze voor het uitschrijven van de boete je naar je gegevens vragen (even los van de ID plicht). Ik heb zomaar 't vermoeden dat je bij eender welke rechter lachend de deur wordt gewezen.

Met 'Willens en wetens' insinueer jij dat het Apple zich in het geheim tot doel heeft gesteld om zoveel mogelijk privé gegevens aan haar gebruikers te ontfutselen. Dat lijkt mij evenveel onzin als bovenstaand statement.

Uiteraard staat het jou vrij om de verantwoording van jouw keuzevrijheid bij een producent van producten, die jij aanhangt, te beleggen. Je zult alleen een ernstige uitdaging krijgen de producent te verplichten zich aan die verantwoording te houden. Of die producent nou Apple, Google, Microsoft, Facebook, Twitter of welke andere firma is, die jij het potentieel in handen geeft om te beschikken over flink wat van jouw persoonlijke gegevens.
Van alle grote bedrijven in de tech wereld is anders toch gebleken dat ze niet te vertrouwen zijn en dat het juist Apple was die als laatste dat vertrouwen heeft geschonden. Wat we over Apple weten is dat het je enkel hardware wil doen kopen en het als laatste tech bedrijf tot PRISM is toegetreden.

Wat weten we over Google bvb? We weten over Google dat het jou (verborgen) profiel verkoopt om je van alles te doen kopen van anderen. Tot nog niet zolang geleden beweerde men bij hoog en laag dat Google je gegevens niet aan derden doorspeelde. PRISM heeft aangetoond dat dat dus niet klopt. Is er echt nog iemand die met 100% zekerheid durft zeggen dat Google je gegevens echt niet verkoopt aan derden?

Bij Apple is het heel simpel. Vertrouw je het bedrijf niet dan koop je er niks van en heb je er verder geen last van. Bij Google is dat dus niet het geval. Vertrouw je Google niet dan mag je gewoon niet meer op het internet komen om er geen last van te hebben.

Dus ik snap niet echt goed waarom je "Apple" schrijft in plaats van "alle tech bedrijven"
Tot nog niet zolang geleden beweerde men bij hoog en laag dat Google je gegevens niet aan derden doorspeelde.
Lijkt me sterk gezien iedereen hier op de hoogte is van de patriot act, ook Apple heeft dat altijd gewoon moeten doen, is namelijk gewoon een wetgeving waar je je in de US aan moet houden, die geldt voor alle bedrijven sinds 11-09-2001!

Apple was met PRISM inderdaad erg laat, petje af daarvoor! Maar het is er nu wel, dus is het nu nog relevant of ze de eerste of laatste waren? Niet echt he :)

Wat altijd ontkend is is dat Google die informatie doorverkoopt aan 3den, als in andere bedrijven, wat altijd door de Google-haters beweerd wordt...

Anders wil ik wel een quote zien of link naar een reactie waar iemand heeft beweerd dat Google zich niet aan de Patriot Act hoeft te houden. Ik ben ze iig nog nooit tegen gekomen, en ik lees bijna alles op tweakers :D

[Reactie gewijzigd door watercoolertje op 23 september 2013 15:11]

Ik ga niet heel tweakers afzoeken maar ik had hier nog geen week voor PRISM uitlekte een discussie hier op tweakers over het feit dat Google de perfecte tool was voor overheden die hun onderdanen willen bespioneren. Ik werd uitgelachen want dat zou Google nooit toelaten. Een paar dagen later bleek het allemaal nog veel erger te zijn dan het scenario dat ik schetste.
Wat is er mis met de bekende 4 cijferige code? Is als je het goed doet minder makkelijk te kraken en voor de gebruiker net zo snel.
Nou ik ken 2 methodes van ''kraken'', de 1 is via de bootloader (werkt op veel android toestellen, maar noem ik geen kraken) en de ander is via de cellebrite (werkt op elk toestel, elk os) en duurt ong 20sec en kan de noemer kraken krijgen.
Deze gebruik ik op werk:
http://www.cellebrite.com...cts/cellebrite-touch.html
Uiteraard met goede doeleindes en niet om gegevens van klanten uit te lezen, maar meer om ''dode'' telefoons te back-uppe. Wel heb ik de optie om alle informatie eraf te halen zonder pincode of wat dan ook. Ook de optie om alleen het wachtwoord te wipe is aanwezig.

Iedereen kan inprincipe zo'n kast kopen mits je er het geld voor over hebt.

Ik snap ook werkelijk niet waarom eigenlijk geen 1 tweaker op de hoogte is van deze technieken, en meer denken van ach CSI NEW YORK style of: alleen de politie gebruikt het..

Indien persoon X mij een iPhone 5S geeft, ga ik niet om zijn vinger vragen, of sporen zoeken van zijn vinger afdruk.. Nee ik klik 1x op: wipe password of wipe lockscreen en done.
Leuk dat een technische bedrijf als CCC het op die manier doet maarja voor mij veel te omslachtig!

Waar jullie tweakers meer zorgen om mogen maken is hetvolgende:
Indien jij een hardreset / factory reset / reflash uitvoert, is het nog altijd mogenlijk om alle tekst bestanden terug te halen. Zoals: contacten, telefoon gesprekken, smsjes en etc.
Lever je telefoon in bij de Media-Markt of zo'n ander inlever punt dan zal een X aantal bij de politie voorbij gaan voor een algemene controlle, althans deze laatste zin kan ik niet bevestigen, en indien ik dat met 100% zekerheid wist moch ik dat uiteraard ook niet vertellen. Maar de logica ligt voor het oprapen.

[Reactie gewijzigd door JeroenC op 23 september 2013 08:39]

Het verschil zit hem in hoe lastig het is.

- Celebrite: Apparaat kopen specifiek voor dit doel. Dat ding is vast niet goedkoop
- Vingerafdruk: Met huis, tuin en keuken middelen te doen voor iedere jandoedel

Beveiliging gaat niet over waterdicht. Het gaat over de moeite om het te doorbreken lastiger maken dan de waarde van datgene wat beveiligd is. Mijn data is niet genoeg waard om een Cellbrite te kopen maar ruim meer dan de moeite om een vingerafdruk te jatten.
Cellebrite: Apparaat kopen specifiek voor dit doel. Dat ding is vast niet goedkoop
Ze staan op Ebay op 'buy now' voor onder de 100 euro. Al zijn dat uitzonderingen. Voor 200 a 300 euro ben je er in elk geval wel.
Mijn Lumia 620 staat in de excel lijst van "supported phones" als niet lezen en schrijven op memory card. Ook kan hij alleen schrijven op phonebook.

Betekent dit ook dat hij geen password can clearen?

Waarom heb je eigenlijk zo'n apparaat nodig? In principe is het toch niks meer dan software en de juiste connectie?
Jawel, het type toestel maakt niet zozeer uit. WP7/8 kan ik dus gewoon uitlezen en het password wipe.

Onlangs heb ik nog de gegevens van de lumia 920 overgezet naar een iphone 5.
Het enige toestel die problemen kan opleveren, maar naar ongeveer 5 minuten toch mogenlijk is, is de blackberry, tenzij deze door bepaalde bedrijven encrypted is (dat doen ze op hardware + software nivo)

Ik gebruik het apparaat om gegevens te back-uppen, veelal van zakelijke klanten waarbij de informatie in hun telefoon van belang kan zijn. Ikzelf kan pas niks meer met het toestel wanneer de printplaat in 2 gebroken is (de politie weer wel, maar zover ga ik niet)

In principe draait het om de software inderdaad. Het is een Windows XP systeem met aangepaste hard en software puur om dat gene te doen wat ik wil.
Het is immers niet mogenlijk om bestanden van klant op de cellebrite te zetten, en tot heden (paar jaar) is het nog niet mogenlijk om het systeem te hacken (was dat wel zo, zou de politie en etc het niet gebruiken)

Sinds 2 weken terug is het ook mogenlijk om de iPhone 5s en 5c uit te lezen, wachtwoorden te wipen en etc.
Nog niet gedaan, maar ik heb de optie wel gekregen binnen de cellebrite.

[Reactie gewijzigd door JeroenC op 23 september 2013 12:57]

Jij kan de gegevens niet uitlezen van een iPhone met iOS7. Vanaf iOS7 moet je toestemming geven om vreemde computers toegang te geven tot de iPhone. Dus het niet eender welk toestel. Met een iPhone met iOS7 op lukt het je gewoon niet als je niet de eigenaar bent.
Lever je telefoon in bij de Media-Markt of zo'n ander inlever punt en een X aantal zal bij de politie voorbij gaan voor een algemene controlle, althans deze laatste zin kan ik niet bevestigen, en indien ik dat met 100% zekerheid wist moch ik dat uiteraard ook niet vertellen. Maar de logica ligt voor het oprapen.

Met dit soort uitspraken zou ik iets voorzichtiger zijn... Ik geloof hier helemaal niks van maar "als" het echt zo is dan is dit een zeer grote privacy inbreuk.
Waarom zouden toestellen die ter reparatie aangeboden worden gescreend worden door de politie? en helemaal willekeurig? Als ze nou onderzoek doen naar een verdachte ok..... maar willekeurige algemene controle? Nee geloof ik niet.

Ik werkt zelf in deze branche en heb dit nog nooit gehoord of gezien.
Hier zouden de media van smullen mocht dit echt gebeuren.
Ik ben voorzichtig door te zeggen dat ik het niet 100% zeker weet, maar de logica voor het oprapen ligt.

En ik bedoelde niet telefoons ter reparatie aanbieden, want hier gebeurt inderdaad niks mee ( ik heb bij HTC gewerkt, en privacy staat voorop.. ), maar ter verkoop: inruil voor cash inleveren is wat ik bedoelde.
Niet 100%? dus 99%? of 80%? Je weet het gewoon niet, en kan dat niet "voorzichtig" noemen. Ik vind het nog steeds een zeeeeeer gewaagde uitspraak. Je beschuldigd mensen/bedrijven van privacy schending zonder dat je iets kan bewijzen of onderbouwen. Puur speculatie......

P.s.Het zou trouwens ook wel erg stom zijn om je toestel zonder te wipen in te leveren. 8)7
Privacy schenden? daar hebben (veel) bedrijven geen moeite mee, waar ze wel moeite mee hebben is als dit naar buiten treed.
Laat ik een voorbeeld geven: redelijk onschuldig, maar als die personen het wisten, telefoon back-ups voor migratie of what ever en alle (prive) foto's opslaan van die personen voor later 'onderzoek'. Vervolgens wordt die back-up laptop gestolen.
Telefoons lever ik niet in, geef ze wel aan andere (zoals familie).
Lever je telefoon in bij de Media-Markt of zo'n ander inlever punt en een X aantal zal bij de politie voorbij gaan voor een algemene controlle, althans deze laatste zin kan ik niet bevestigen, en indien ik dat met 100% zekerheid wist moch ik dat uiteraard ook niet vertellen. Maar de logica ligt voor het oprapen.


Dit heb je zelf gezegd.... 8)7
Wipen op de gebruikelijke manier helpt vaak niet, zoals een delete of een quick format op je normale computer ook alles laat staan.

Verder kan je natuurlijk nooit zeker weten of JeroenC iets tussen de regels schrijft (op mijn scherm staan daar alleen maar witte pixels) , maar laten we zeggen dat ik het hele idee ook tamelijk plausibel vind. Er zijn immers instanties die geloven dat er op mobieltjes aanwijzingen van terrorisme en kinderporno staan, en er zijn misdadigers die zo dom zijn om daadwerkelijk terrorisme of kinderporno te bedrijven via hun telefoon.
Nee, kan ik je niet vertellen, heb me er nog nooit in verdiept......
Maar ik zeg iig niet dat deze door een algemene controle van de politie gaan zonder dit "100%" zeker te weten.

Als je zulke uitspraken doet is het vaak verstandig hierbij een bron te vermelden of enige onderbouwing (en dan niet, "ik weet het bijna 100% zeker) ipv zomaar wat te zeggen.
Dat je in deze tijd (NSA, Snowden, Assange etc) zoiets denkt, of misschien verwacht is nog geen reden om aan te nemen dat alles en iedereen spioneert en/of privacy schend.

Bovendien kan ik me niet echt voorstellen dat de politie door defecte (anoniem?) ingeleverde toestellen gaat spitten in de hoop hier iets te vinden dat niet door de beugel kan.

Bij ons op het werk zijn er overigens wel gewoon richtlijnen als er op een toestel van een klant sporen van b.v. kinder porno of ander duidelijk crimineel gedrag gevonden word. Er word dan verzocht de politie van het gevonden materiaal in te lichten en zij nemen het dan over. Even voor de duidelijkheid..... Wij gaan niet op zoek naar materiaal! Je kan het b.v. tegen komen als een klant een defecte camera zegt te hebben en je dus test foto's maakt en in de gallerij ook andere foto's tegen komt.

[Reactie gewijzigd door Gohan040 op 23 september 2013 12:48]

Ik ben gelukkig nog nooit in de positie geweest dat ik zulke dingen bij een klant tegenkwam. Ik denk echter dat het wat ingewikkelder ligt dan 'wel of niet bij de politie melden'. Op het moment dat ik zelf een misdrijf zou begaan door mijn kennis van een misdrijf niet te melden, is de zaak pragmatisch gezien vrij duidelijk aangezien ik geen beroepsgeheim heb en geen strafbare feiten wens te plegen, maar zelfs dan is de wet er niet helemaal duidelijk over, zie bijvoorbeeld: http://www.uwwet.nl/wette...giften-en-aanklachten.htm waarin staat dat je je mond mag houden als je zelf in gevaar zou komen.

Overigens gaat het volgens die link om:
- Misdrijven tegen de veiligheid van de staat (waaronder terrorisme, maar ook het lekken van de miljoenennota)
- De koning aanranden of zijn vrouw naar het leven staan
- Misdrijven tegen het leven gericht
- Illegale abortus

Waaruit we mogen opmaken dat de wet het niet zo op verklikkers heeft en er alleen in de ernstigste gevallen aanzet toe geeft.

Ik zou zelf geneigd zijn mijn mond stijf dicht te houden als ik bij een klant een kopie van de miljoenennota zou aantreffen, want binnen mijn eigen ethiek is dat geen ernstig vergrijp.

Daarentegen zou ik geneigd zijn om alsnog aangifte te doen (het moet dan niet maar het mag natuurlijk wel) indien ik concrete belastende foto's van geweldsmisdrijven, andere aanrandingen of verkrachtingen tegen zou komen.

Samengevat hebben terrorisme en kinderporno bij mij ook weinig kans, maar het ligt dus niet zo zwart-wit als je in eerste instantie denkt (bijvoorbeeld omdat je zelf niet verantwoordelijk bent voor het beleid van je werkgever, terwijl dat beleid wel alle mogelijke duidelijkheid biedt - wat opzich ook niet verkeerd is natuurlijk, zo lang het ook maar in de algemene voorwaarden staat).

[Reactie gewijzigd door mae-t.net op 23 september 2013 15:02]

Waaruit we mogen opmaken dat de wet het niet zo op verklikkers heeft
http://www.meldmisdaadanoniem.nl/
Daar worden echt niet alleen de door jouw genoemde misdaden gemeld.
Klopt, daar mag je melden wat je wilt. Het hoeft niet eens waar te zijn, en zoals zo vaak bij klikken spelen persoonlijke motieven soms zwaarder mee dan wettelijke, maar dat terzijde.

Waar het om gaat is dat de meldlijn bij een compleet andere tak van de trias hoort! Ik had het over de wet(gever), jij hebt het over het opsporingsapparaat en de aanklager. Dat het OM graag zoveel mogelijk laat arresteren en vervolgen, is logisch want daar zijn ze voor (al moeten we altijd blijven waken dat ze niet doorschieten). Het complete rechtssysteem kijkt daar wat genuanceerder naar en kan niet leven van "horen zeggen" alleen. Gelukkig maar.
Blablablabla.

Heb je het al gedaan met een iPhone?


De Iphone encrypteert zijn volledige schijf. Bij het wissen van het 'wachtwoord', wis je ook de encryptie key. Dus heb je een lege schijf. :+

Leuk verhaaltje, maar helaas pindakaas.
Natuurlijk hebben wij het al toegepast bij een iPhone, de iPhone word zakelijk zeer veel gebruikt, en is dus 1 van de belangrijkste punten voor Cellebrite.

Wat denk jij nou, dat als de politie een iPhone in beslag neemt er niks mee kan?

Haha, sjongenjongen wat leef jij in een droomwereld. Al wis jij je hele iphone kan ik mocht ik willen alsnog al je smsjes,contacten en ander tekst verkeer eraf halen.

Maar nogmaals, ik geef aan dat het KAN, niet dat ik het doe, en als het gebeurt is dit onder toezicht van de klant zelf ivm privacy.
Hij gebruikt een (aangepast) XP systeem voor back-up/pw wipe hij zegt nergens dat er xp op een iphone staat. lezen, je kan het.
Het feit dat je "XP" op een telefoon denkt geinstalleerd te hebben zegt al genoeg over jouw kennis.

Hu?:P De cellebrite draait op een aangepaste windows xp versie. De cellebrite is geen telefoon.

Feit dat jij over AES encryptie praat, en denkt dat het toestel veilig is zegt meer over jou kennis dan de mijne denk ik zo.

Om toch maar met een klein/kort bewijs te komen:
http://www.cellebrite.com...e_Bypass_instructions.pdf

Een voorbeeldje om alle data eraf te halen zonder pass te gebruiken, als voorbeeld word de 2g en 3g gebruikt, tegenwoordig zijn alle toestellen compitabel op sommige Blackberries na:)

Tevens is de cellebrite in de dit overzicht de ''goedkopere'' versie, zelf gebruik ik de cellebrite touch die een stuk meer functies heeft.

Trouwens, onder andere vodafone gebruikt ook de cellebrite touch. Maar dan de goedkopere varriant zonder (naar mijn weten) pass reset.

Maar goed, mijn excuses ik ga volledig offtopic doordat het alleen nog maar om de cellebrite gaat en niet het omzeilen van de vingerafdrukscanner van de iphone5s

[Reactie gewijzigd door JeroenC op 23 september 2013 12:20]

Joehoe,

In die PDF die je stuurt staat dat je toegang moet hebben tot de computer van de gebruiker... Well duhh, zo kan ik het ook.

Situatie: ik verlies mijn iPhone 5 met ios6 non jailbroken.

Hoef ik nu te vrezen dat mijn data uitgelezen kan worden?

Ter info: ik ken (spijtig genoeg) de AES bewerkingen in detail (niet zo moeilijk). Het gaat er om dat disk in de iPhone volledig geencrypteerd wordt.

Zonder iTunes keys, zonder passcodes: kan jij data uit een nieuwe iPhone 5 ios 6/7 extracten? Zo ja, heb je het al gedaan?

Volgens Apple kan het niet. Maar 'alles' is mogelijk.
Alleen: als mijn passcode 25 chars lang is: ga je het niet bruteforcen.
Encryptie gaat bij ''belangrijke'' mensen zoals hoog geplaatste ministers, koninklijke huis, hoog geplaatste politie agenten veel verder dan alleen AES.
Deze mensen gebruiken ook geen iphone of android toestel, maar zoals ik in andere artikels verteld heb: encrypted telefoons op communicatie en hardware nivo. Deze telefoons kunnen dus ook NIET uitgelezen worden.
Voorbeeldje:
http://www.ennetcom.com/nl/
Kijk voor de lol bij pricing :D

Voor de liefhebbers is de volgende site ook wel leuk:
http://www.eurospyshop.com/

Trouwens, voor sommige die mij ineens beginnen te verdenken van ik weet niet wat.
Ik gebruik de cellebrite voor diezelfde reden als vodafone doet:
Fouten analiseren/repareren en back-ups maken indien de klant dat wilt, niks speciaals of geks dus. Ik gebruik de cellebrite alleen op werk, en heb deze dus uiteraard niet thuis staan..


De reden dat ik het vertel is omdat sommige een beetje een hard hoofd hebben zodra ze met een iphone lopen, en veilig denken te zijn.
Maar op beperkte hoogte is elke telefoon veilig wanneer er gewoon een wachtwoord op het toestel staat, en is er geen reden om zorgen te maken...
Net als dit met de vinger afdruk kopies, hoe groot is de kans dat het misbruikt word?
Het gaat erom dat er een mogelijkheid is, maar niks om zorgen over te maken

[Reactie gewijzigd door JeroenC op 23 september 2013 14:10]

Ik denk dat jij een paar dingen door elkaar gooit.
Die link die je aangeeft gaat over beveiligde communicatie.

Dat is mooi, maar irrelevant. Het gaat er over dat jij informatie uitkan lezen uit een tweedehands toestel bv. waarvan de pincode onbekend is, of factory gereset is.

Apple claimt dat de koper van een tweedehandstoestel onmogelijk de originele foto's van de telefoon kan jatten. Daarvoor encrypteren ze de schijf van de iPhone dmv een hardware id en een user id gebaseerd op de pincode.

Deze key wordt in het geheugen van de iPhone opgeslagen. Eens gewist, rest er enkel nog random data: AES encrypted data met een key die niet meer bestaat.

-> Dus kan jij dan nog data uitlezen? Ik ben vrij zeker van niet
-> Kan jij -als er niks gewist is/factory reset gedaan is, ZONDER pincode of iTunes files data van de iPhone 5/ios7 halen?

Graag een sluitend bewijs.
In dat pdf bestandje dien je files van een locatie te halen die (in mijn geval) niet bestaat, namelijk ~/Library/Lockdown (ik heb wel mijn backup versleuteld).

Overigens erg slordig dat ze de slashes de verkeerde kant op laten gaan en dat ze beginnen met \VolumeName\Users.... terwijl het gewoon /Users/<username> is (of ~/ zoals ik het verkort heb genoteerd). Dat maakt al net zo'n louche indruk als die jij nu achterlaat door al die stoerdoenerij dat je de content van iedere phone kunt opvragen. In de praktijk is dat gewoon niet zo; er zijn vele lagen van beveiliging en die tezamen toegepast levert ook voor dit soort tools een flinke uitdaging.
Het feit dat je "XP" op een telefoon denkt geinstalleerd te hebben zegt al genoeg over jouw kennis.
Lezen blijft moeilijk... En begrijpen al helemaal :).
De schijf wordt met AES geencrypteerd...
Het probleem zit hem vaak in de juiste toepassing van de encryptie, of de opslag van het wachtwoord. Dat gebeurt vaak niet op de juiste manier. Zodat je de encryptie niet breekt, maar toch bij de data op het toestel kan.
Niet dat ik zeg dat dit bij de iPhones kan (op dit moment).

[Reactie gewijzigd door kimborntobewild op 24 september 2013 06:34]

Iedereen kan het, zoals JeroenC al heeft aangegeven. :'(

Neem een proef abonnement bij Celibrite, een maand geldig, en leef je uit.
  • achterhalen van huidige pincode.
  • back-up van tekstberichten, contacten, foto's, etc.
Het enige wat tegenvalt is de geschiedenis van de locatiefunctie aangezien dit ogenschijnlijk niet bijgehouden wordt voor langer dan een week.
Jeroen, heb je het al geprobeerd met iOS7 dan? Want volgens mij ga je nog uit van iOS6...
Nog niet geprobeert, zoals ik aangaf heb ik 2 weken terug een update ontvangen voor de iphone 5s en c, ik ga ervanuit dat het dus ook op ios7 werkt doordat deze toestellen niet gereleased zijn met 6.x

Verder zitten er uiteraard genoeg bugs in ios7 waarvan tweakers ook al enkele gepubliceert heeft.
Je gaat in al je posts uit van het foute. Onderaan de pagina kun je het lijstje uitklappen.
*Logical and File System extractions are only possible when the devices are unlocked.
http://www.cellebrite.com...utions/ios-forensics.html

Physical extraction, Physical extraction with password bypass, Physical extraction decoding is allemaal niet mogelijk op => iPhone 4S
File system extraction en Logical extraction alleen als een device niet gelockt is.

Vanaf de iPhone 4S is het al niet meer mogelijk om ook maar iets simpels te doen, tenzij het gejailbreakt is of een oude iOS versie draait, maar dan heb je ook nog een toestel nodig wat niet gelockt is. Sinds de 4S zijn er namelijk geen bootrom exploits meer voor iPhones gevonden dus zijn er überhaupt nauwelijks handelingen die je meer kan verrichten met een gelockte device die de nieuwste versie draait.

Alleen de oude iPhones waarvan bootrom exploits zijn gevonden zijn vatbaar voor de volledigheid van de Cellebrite suite.
*Supported Apple devices running iOS 5.0 and above*: iPhone 3GS/4, iPad1, iPod Touch 3G/4G, iPod Nano 5G
http://www.cellebrite.com...ase-Notes-UFED-PA_3.8.pdf


Dat er op de site staat dat de basisondersteuning aanwezig is voor een iPhone 5S zegt dus helemaal niks. Dat is hetzelfde als dat ik je mijn geunlockte iPhone 5S zou geven en je vraag om mn adresboek of sms'jes uit te lezen. Cellebrite leunt zwaar op de jailbreakscene. Zodra er een publieke jailbreak is updaten ze hun programmatuur, zodat er eindelijk een extra deel van de nieuwere iPhones gehackt kan worden. Er komt maar steeds geen nieuwe bootrom-exploit, dus zelfs met een jailbreak is nog niet alles mogelijk. Als er een bootrom-exploit zou verschijnen die backwards compatible is met oudere devices, dan ligt het veld voor forensisch onderzoek op iPhones ineens weer wijd open, maar die is er gewoon nog niet.

Laat die opmerkingen dat veel Tweakers nu angstig aan het worden zijn en bang zijn dat hun device te kraken is maar weg. Dat siert je berichten niet.

[Reactie gewijzigd door SidewalkSuper op 23 september 2013 12:57]

Wat CCC hier laat zien is dat een vingerafdrukscan niet veilig is. Natuurlijk krijg je meer media-aandacht als je dat snel op een populair apparaat kunt. Heeft niets met Apple of de beveiliging te maken. Natuurlijk gaat dit in de praktijk niet (vaak) gebruikt worden. We weten inmiddels wel weer allemaal even hoe onveilig een vingerafdrukscan is, snapte.
@ JeroenC: Dit verhaal geloof ik niet helemaal, om een toestel te decrypten heb je een UFED systeem van Cellebrite nodig, deze apperatuur wordt alleen verkocht aan specifieke organisaties en bedrijven. Wanneer jij beschikking hebt over een UFED zul je daar echt niet over lopen praten op internet fora.

Dus heb je waarschijnlijk een UME van Cellebrite en die kan, voor zover ik weet, niet gebruikt worden om encrypted data leesbaar te maken voor de gebruiker van de UME. Een UME slaat ook geen data op maar kan wel worden gebruikt om bepaalde gegevens over te zetten van het ene toestel naar het andere.
Klopt niet: TouchID is veiliger dan een PIN code want de kans dat iemand je pascode kan raden is 1 in 10.000, de kans dat iemand dezelfde vingerafdruk heeft is 1 in 50.000. Dus zonder hack is TouchID veiliger.

Ok maar TouchID is gehackt dus is het minder veilig? Niet echt. Je hebt een afbeelding van 2400 dpi nodig om deze hack te kunnen toepassen. Dus het moet al een goed uitgeruste dief zijn die speciaal op zoek is naar iPhones met een TouchID. Ik denk als je zo goed uitgerust bezig bent je gewoon beter een vrachtwagen vol met iPhones gaat pikken dan op zoek gaan naar een iPhone met TouchID.

Op zich is het dus eigenlijk een storm in een glas water. Voor normale mensen is op dit moment TouchID nog steeds veiliger dan een PIN vooral omdat je een iCloud beveiliging hebt die nog steeds niet gehackt is. Beschik je over zeer belangrijke geheime data dan is het aanwezig zowel vingerafdruk als PIN te gebruiken vermits je dan 3 beveiligingen hebt. TouchID, PIN en iCloud. Je moet al heel straf zijn wil je die drie beveiligingen omzeilen.
de kans dat iemand dezelfde vingerafdruk heeft is 1 in 50.000.
Dat is een schromelijk onderdreven groot getal.
Zelfs eeneiļge tweelingen hebben niet dezelfde vingerafdruk.
Hoe groot de kans is op dezelfde vingerafdruk weet ik niet; maar (als je googlet) het gaat 'altijd' om een kans van 1 op zoveel miljoen/miljard of dat ze 'nooit' gelijk zijn.
Trouwens, stel je maakt twee keer achterelkaar een vingerafdruk van dezelfde vinger. Ook dan zal je verschillen zien.

[Reactie gewijzigd door kimborntobewild op 24 september 2013 06:50]

Ok maar TouchID is gehackt dus is het minder veilig? Niet echt. Je hebt een afbeelding van 2400 dpi nodig om deze hack te kunnen toepassen.
Je pakt een CD die het slachtoffer heeft beetgehad, en tada...
http://www.youtube.com/watch?v=3Hji3kp_i9k
Natuurlijk moet je wel een beetje handig zijn, om zo'n latex vinger te maken. Maar dat kan natuurlijk nooit als reden gezien worden om het als veilig systeem te bestempelen. Je hebt nu eenmaal veel handige mensen. En desnoods pak je alleen de vingerafdruk, en laat je zo'n latex vinger door een ander maken.
Het is gewoon een onveilig systeem om zaken met je vingerafdruk te 'beveiligen'.
Handig? Ja. Veilig? Nee.

[Reactie gewijzigd door kimborntobewild op 24 september 2013 07:04]

Dat vind ik een vreemd argument. Beveiliging is precies dat: het moet beveiligen.
Als je iets maakt dat er voor zorgt dat meer mensen er gebruik van gaan maken moet je niet iets maken dat makkelijk te kraken is. Dat soort argumenten speelt juist anderen in de kaart dat dit door de NSA bedacht is.
Haha, het was even wachtten maar ja hoor het is weer dankzij de NSA..
De NSA hoeft naar mijn weten niet eens jou telefoon in bezit te hebben om al jou gegevens in bezit te krijgen.
En dan nog, ook de NSA gebruikt de cellebrite.

De NSA zal dus niet jou telefoon in bezit nemen, een foto afdrukken van jou vinger afdruk, en deze vervolgens op de afdrukscanner leggen.

Dit artikel wilt gewoon zeggen dat de informatie van Apple uit niet klopt, en dat het niet doet wat het hoort te doen, en dat is aanvoelen of het huid is of gewoon een papiere vel.
Apple claimt of claimde zal het nu wel zijn, dat de scanner kon voelen of het de huid was die ertegen kwam of gewoon een vel papier. En dat was dus 1 grote leugen.
"You check your iPhone dozens and dozens of times a day, probably more. Entering a passcode each time just slows you down. But you do it because making sure no one else has access to your iPhone is important. With iPhone 5s, getting into your phone is faster, easier, and even a little futuristic. Introducing Touch ID — a new fingerprint identity sensor."
http://www.apple.com/iphone-5s/features/

Je zei?
Ik zie mogelijkheden voor een class suit :)

[Reactie gewijzigd door michelr op 23 september 2013 07:46]

"faster, easier and even a little futuristic" - Daar staat niet tussen of en hoe veilig het zou zijn ten opzichte van een code...
Ze impliceren wel dat het veilig is, want het is een vervanging van je code, maar ze zeggen het niet. Met de hoeveelheid geld die ze in advocaten kunnen steken, zou een class-action suit wel eens tegen kunnen vallen...
Ze zeggen natuurlijk niet hoe veilig het is in vergelijking met een code, maar ze zeggen wel degelijk dat het veilig hoort te zijn, ik quote;

"It’s a convenient and highly secure way to access your phone."
In dat geval, en zeker in de US, is het risico van een clas-action suit zeker aanwezig.

Ik ging alleen van de quote van michelr uit...
"CCC omzeilt vingerafdrukscanner iPhone 5s met foto" is wat kort door de bocht, daarmee geef je de indruk dat het redelijk makkelijk is.

Ik ken weinig mensen met een laserprinter, transparante sheets en latexmelk in de buurt, dus ik denk niet dat ik bang hoef te zijn dat iemand zomaar in m'n iPhone 5s komt.
Als mensen het doel hebben om in jouw telefoon te komen, dan kunnen ze het. Dat is meer het punt. De meeste mensen zullen geen interresse hebben in de data op jouw telefoon.
Denk je nou echt dat een gewone pin-code of een figuurtje ala Android veiliger is?? Want daar gaat het om.. Deze feature is er niet om het veiliger te maken, het is er om het makkelijker te maken met dezelfde veiligheid..

[Reactie gewijzigd door Eswip op 23 september 2013 08:52]

O nee, absoluut niet. Maar Apple heeft het wel gepresenteerd als een veiligere optie. Ze leggen inderdaad ook de aandacht op het gemak. En dat zal het vast zijn.
Ik heb niet echt ergens gelezen waar ze zeggen dat dit veel veiliger is. Het enige wat ik heb gelezen is dat statistisch gezien de kans groter is dat iemand een pincode raad t.o.v. een scanner die een andere vinger accepteert..
Ik denk dat je Apple dan verkeerd verstaan hebt. Een veiligere optie in die zin dat het merendeel van de iPhone gebruikers geen PIN op hun iPhone zetten. Dus het is veiliger voor het merendeel van de iPhone gebruikers omdat deze nu wel beschermd zijn tegen de normale iPhone diefstallen of gevallen van verlies.
Dat zou best kunnen, maar zo staat het op de features pagina van de iPhone 5s
Put your finger on the Home button, and just like that your iPhone unlocks. It’s a convenient and highly secure way to access your phone. Your fingerprint can also...
Er staat inderdaad niet dat het beter is, maar volgens mij wordt het wel gesuggereerd.

Edit: Quote fixed

[Reactie gewijzigd door Triogap op 24 september 2013 08:19]

laserprinters vind je overal, zeker op het werk of in school. Transparante sheets zijn zowat overal te koop (de overhead projector is nog altijd niet dood) en latexmelk zal ook wel niet moeilijk te vinden zijn. Het moeilijkste is nog die vingerafdruk van je telefoon zien af te krijgen.
de achterkant is van glas, een brede rol transparante tape icm met wat poeder en je bent er al.
Mag ik jouw telefoon eens zien dan? De achterkant van mijn 5 (en die van de 5s) is van aluminium...

Daarnaast wat een gezeik over de vingerafdruk, iedere telefoon staat er vol mee aan de buitenkant.

Alsof het "patrrontje vegen" van Samsung/android zo veilig is. Het patroon wat je moet maken staat in 90% van de gevallen gewoon op het touchscreen in vette-vinger sporen en hetztlfde geldt voor de meeste pincodes
Alsof het "patrrontje vegen" van Samsung/android zo veilig is. Het patroon wat je moet maken staat in 90% van de gevallen gewoon op het touchscreen in vette-vinger sporen en hetztlfde geldt voor de meeste pincodes
90% Van alle percentages is verzonnen? :)
Niet dat ik zeg dat dat veilig is, maar 90% van de gebruikers veegt of type een code, en gebruikt daarna (waardoor het een warboel wordt) het toestel niet meer? Lijkt me klinkklare onzin.
Verder is zo'n code trouwens niet vergelijkbaar met een veeg. Een veeg kan je vanaf twee kanten maken. Een vier-cijferige code kan je op 24 verschillende manieren intikken.
Ik vraag me af of je van de telefoon een goede vingerafdruk kan halen die je mooi op de foto kan zetten. Er staan super veel vingerafdrukken op, succes met het maken van een foto van de juiste afdruk.
succes met het maken van een foto van de juiste afdruk
Het hoeft niet vanaf het toestel.
http://www.youtube.com/watch?v=3Hji3kp_i9k
Grant dacht ook dat 't moeilijk zou zijn dat iemand zijn vingerafdruk zou kunnen krijgen. 0:50 'Apparantly, I was wrong.'
Een mens heeft 10 vingers en je gebruikt er 1 misschien 2 om je telefoon te kunnen unlocken. Op de achterkant staan meestal vingerafdrukken die je niet gebruikt om te unlocken. Dus de kans dat je daar een bruikbare vingerafdruk vind om de telefoon te unlocken is laag.

Daarbij succes ook de juiste bruikbare vingerafdruk van een telefoon te krijgen. Met een halve of 2 afdrukken door elkaar kom je niet ver genoeg denk ik zo. Je zult toch eerst een bruikbare moeten vinden.
Een mens heeft tien vingers maar in realiteit zal het gros van de mensen de duim gebruiken als unlock vinger. De reden is simpel, deze zit op de juiste plaats wanneer men de telefoon vast neemt. Het is ook simpel voor een dief om gewoon even in het oog te houden welke vinger je gebruikt. Verder is de kans groot dat de vingerafdrukken vooraan het scherm van dezelfde duim zijn als degene die de meeste mensen zullen gebruiken voor de fingerprint ID. Het moet ook niet persé komen van de telefoon, een proper glas waarvan je gedronken hebt bvb is gemakkelijk mee te nemen.

Neem hierbij dan nog eens dat Find my iPhone kan ontmantelt worden door vluchtmodus op te zetten (wat door een bug voor de moment kan vanaf het lockscreen) en dan heeft de persoon in kwestie 48 uur (genoeg tijd) om fake finger te maken en je iphone te unlocken.

CCC is hier correct in te zeggen dat belangrijke/gevoelige informatie niet zou mogen beveiligd worden door een fingerprint scanner. Het is wel een alternatieve manier om jouw GSM te unlocken indien je een paswoord te lastig vindt en anders niets zou gebruiken. Het is beter als niets maar het is niet veilig.

[Reactie gewijzigd door Chip5y op 23 september 2013 12:21]

Wat een moeite je blijkbaar allemaal niet moet doen om zo'n iPhone te hacken dus. Je moet de target dus eerst bespioneren hoe hij zijn telefoon gebruikt. Je moet ook nog eens zeker zijn dat de target uit een glas drinkt en dan maar hopen dat die het glas niet al te vuil maakt. Het lijkt wel een megaheist voor een toestel dat vandaag tweedhands ¤1000 waard is en binnen een paar weken nog maar ¤600 omdat het dan overal te koop is. En dan moet je ook nog eens hele hoop materiaal bij hebben om het onmiddellijk te hacken want anders is hij toch al gebrickt via iCloud. Dus best ook een handlanger erbij en je hebt de heist van het jaar met als buit? Een iPhone 8)7

Dus nee ik denk echt niet dat criminelen die zo georganiseerd te werk gaan zich gaan bezig houden met een kruimeldiefstal zoals een iPhone. Teveel risico dat al de moeite gewoon voor niets zal zijn.

[Reactie gewijzigd door olapola op 23 september 2013 15:18]

Jij mag het dan niet waard zijn er zijn genoeg mensen die met een iPhone rondlopen waar wel wat moeite voor zal gedaan worden.

Laten we niet vergeten dat het veel gemakkelijker is om iemand te forceren zijn vinger op de scanner te leggen dan iemand te dwingen zijn code op geven.

Het is een goed alternatief voor iemand die een code te omslachtig vindt, en daardoor anders geen beveiliging zou gebruiken. Iets is beter als niets. Maar het mag niet bekeken worden als veilig en mensen die gevoelige of belangrijke informatie op hun iPhone hebben staan zouden op dit systeem dan ook niet mogen vertrouwen. Ik zou er niet van verschieten mochten ooit overheidsinstanties gebruik gaan maken van de 5S dat dit systeem standaard uitgeschakeld wordt.

Als puntje bij paaltje komt is dit systeem niet veiliger als een paswoord systeem.

[Reactie gewijzigd door Chip5y op 23 september 2013 15:28]

Er zijn in vergelijking met het aantal mensen dat op aarde woont maar weinig mensen die het waard zijn hun data te stelen. En als je het waard bent dan is de iPhone 5S echt wel het beste wat je kan hebben omdat je dan een dubbele verificatie kan inschakelen : PIN + TouchID.

TouchID is in theorie wel veiliger dan PIN en gecombineerd zelfs waterdicht als je ook Find My iPhone hebt geļnstalleerd.
TouchID op zich is niet veiliger. Ben het wel eens met je dat TouchID en pin gecombineerd (geļmplementeerd in de vorm van een two-step authentication) veiliger is maar dan is het gebruiksgemak van een TouchID ook ineens verdwenen.

Lol waterdicht, spijtig genoeg is in realiteit niets waterdicht als het op beveiliging aankomt.
En in plaats van latexmelk (ook niet echt moeilijk verkrijgbaar) kan je ook houtlijm gebruiken (zie artikel). En dat is wel overal te verkrijgen voor een paar euro.
Leuk maar tegen dat je dat allemaal bij elkaar hebt is de telefoon al via iCloud gebrickt en heb je er niks meer aan. Je moet die zaken echt wel bij hebben wil je daadwerkelijk een iPhone met TouchID stelen en hacken.
Jij bent blijkbaar vergeten dat Find my iPhone nutteloos is indien er geen netwerkverbinding is. En voor de moment kan je via een bug een iphone nog op vluchtmodus zetten vanaf de lockscreen (met dank aan Siri). Dit geeft de persoon in kwestie 48 uur wat meer dan genoeg tijd is (een uur ofzo zou al genoeg moeten zijn)

[Reactie gewijzigd door Chip5y op 23 september 2013 15:56]

Je kan nu al uitschakelen dat iemand je iPhone in vliegtuigmodus kan zetten via controlcenter en Siri kan je ook zo instellen dat die niet te activeren valt in de lockscreen. Dus wat je zegt klopt niet echt.
Er zijn nog andere manieren om te voorkomen dat een GSM een bruikbaar netwerksignaal heeft ;).
Echt wel, hier een laserprinter, transparante sheets en houtlijm gewoon voorhanden.... ook een normale scanner trouwens.... dus veel mesen hebben dat gewoon in huis...
laten we het nou gewoon maar bij een wachtwoord houden dat werkt prima genoeg
Maar dat is net het probleem. De meeste iPhone gebruikers stellen geen wachtwoord in vandaar die scanner.
nou ja simpel toch dan is het toch hun probleem als hun telefoon word gestolen en gebruikt .
atans zo zie ik het want dit systeem werk momenteel ook voor geen meter.
Dat is niet enkel het probleem van de gebruiker. Het is ook het probleem van de politie. In NY stijgen de criminalitieitscijfers wegens iPhone diefstallen. Rekent men de iPhone diefstallen niet bij de criminaliteitscijfers dan zouden ze gedaald zijn.

En voor dat soort criminaliteit is deze TouchID perfect. Het soort mensen dat in NY deze diefstallen pleegt loopt dan ook niet rond met al de benodigdheden om zo'n hack uit te voeren.

De politie van NY spoort iPhone gebruikers dan momenteel ook aan om zo snel mogelijk up te daten naar iOS7 omdat deze een waterdichte beveiliging heeft tegen dit soort diefstallen en zo'n TouchID maakt het voor straatcriminelen nog minder interessant om iPhones te stelen.
Komt bekend voor.... Mythbusters hebben het ook een keer bewezen door gewoon een latex filmpje van de correcte vingerafdruk op hun eigen vinger te doen. De scanner herkende de warmte en hartslag van een persoon. En leest de goede vingerafdruk. Het hele systeem is totaal niet waterdicht...
Maar kan een systeem hedentendage nog waterdicht zijn?

Want toen we allemaal nog gewoon sleutels gebruikten om deuren te open, met zo'n 'baard' er aan, dat had het voordeel dat je met je vingers nooit in het slot kon om de boel te manipuleren. Uiteraard ontstond toen de 'lockpick'. Maar die moest je ook zelf vervaardigen of laten smeden.

Sleutels werden ingewikkelder. Maar tussen inbreker en eigenaar was een spel gaande met een fysieke realiteit als arena. Om een deur te openen moest je de juiste lockpicks hebben, je fysiek naar de deur begeven en materie manipuleren.

Nu ICT in de samenleving is gebracht is die arena verandert. Nu is alles digitaal end raadloos. Je hoeft niet meer fysiek ergens te zijn om in te breken. Je lockpicks zijn nu software en je hardware maakt het ook ogelijk op afstand ergens in te breken. M.a.w. de arena is nu anders en ICT heeft dus een inherente gevoeligheid, op dezelfde manier als een deur met een slot ook een inherente gevoeligheid kent. Het slot zelf.

ICT is zowel het slot als de beveiliging, in een doos bij elkaar gebracht, min of meer. Het hele spel tussen inbreker en eigenaar veranderd. Daarmee bestaat het ene niet zonder het andere, zonder ICT geen beveiligingsrisico, zonder beveiligingsrisico geen ICT.

Ying en Yang dus. Die bestaan niet onafhankelijk van elkaar. Het een veroorzaakt het ander.

Ik denk dus dat het een verkeerd concept is te denken dat er nog zoiets kan bestaan als een 'deur'. Een deur is immers de beveiliging van een huis maar ook de toegang. En met ICT ga je daarmee in hyperdrive.
Ik denk dat het makkelijker is om achter iemands pincode te komen dan deze methode. Ten eerste heb je iemands vingerafdruk nodig, waar natuurlijk wel aan te komen is, maar dat doe je niet zomaar. Daarna moet je nog de spullen hebben om deze af te drukken. Zo te lezen is dat toch nog best veel werk. Terwijl achter iemands pincode komen vaak een kwestie is van even opletten als iemand zijn telefoon unlockt.

[Reactie gewijzigd door voxxel op 23 september 2013 06:57]

Inderdaad. Als mensen een paar keer bij je in de buurt zijn geweest als je je telefoon unlocked weten ze eigenlijk al wat je code is; zelfs als je heel snel unlocked is het een kwestie van de beweging nadoen en een beetje trial and error. Zelfs mijn neefje van 8 wist op die manier na een tijd de pattern-unlock van mijn Android phone. Dan is een vingerafdruk veiliger, denk dat 99,9% van de mensen te lam zijn of de vaardigheden niet hebben om er een na te maken.

Uiteraard moet de vingerafdruk enkel een simpele pincode of swipe-unlock vervangen en niet gebruikt worden voor bijvoorbeeld een DigID of internet bankieren. Je vingerafdruk kun je inderdaad niet vervangen, dus dat zou die systemen veel te kwetsbaar maken. Daar heeft de CCC een punt.

[Reactie gewijzigd door PhoenixT op 23 september 2013 07:11]

Dan is een vingerafdruk veiliger, denk dat 99,9% van de mensen te lam zijn of de vaardigheden niet hebben om er een na te maken.
Assumption is the mother of all fuck-ups.
Alleen heb je niet altijd de mogelijheid om iemand zijn telefoon te zien ontgrendelen. En die vingerafdruk ... je scherm staat er vol mee.
Security omzeilen bleek altijd al makkelijk bij besturingssystemen met directe toegang. Wat voor code er ook werd gebruikt.

Dat je scherm en je telefoon volstaat met vingerafdrukken is natuurlijk onzin. Je hebt namelijk 10 vingers en die hebben allemaal een identieke afdruk. Wanneer je, maar 1 vinger registreert wordt het al een hoop werk de juiste vinger van je telefoon af te halen.
Daarnaast laat je ook niet bij elke aanraking een goede vingerafdruk achter. Zeker op het scherm van je telefoon niet, want een hoop bewegingen zijn gewoon swipe bewegingen. En veel afdrukken niet volledig genoeg of over elkaar heen geplaatst.

Er zijn zoveel factoren bij het omzeilen van een vingerafdruk op deze manier, dat het wachtwoord omzeilen altijd vele malen sneller en makkelijk blijft voor kwaadwillende.
Je zal wel Unieke bedoelen ipv identieke.. mijn wijsvinger heft echt een andere vingerafdruk dan mijn middelvinger.
Er zijn zoveel factoren bij het omzeilen van een vingerafdruk op deze manier, dat het wachtwoord omzeilen altijd vele malen sneller en makkelijk blijft voor kwaadwillende.
Lang niet altijd. Bijv. als de boel encrypted is. Of als je het slachtoffer niet kan observeren tijdens het unlocken met een swipe.
En dan verander je je pincode...
Probeer dat eens met je vingerafdruk?
andere vinger kiezen. Je hebt er 10 en als die op zijn begin je met je tenen ;)
Ik vind het nog geen waterdicht bewijs. Het is nl. nog steeds dezelfde persoon. Als er dus 'onderhuids' gescand wordt (geen idee wat daar zit) dan kan dat dus ook werken bij dezelfde persoon lijkt me.
Overtuigender was geweest als iemand anders met de latex de telefoon unlocked had...

Ook vraag ik me af hoe compleet de bron moet zijn. En of een afrdruk op een bierglas, zoals in de films, voldoende gaat zijn...
Dan krijg je dat weer... alsof van een andere persoon de vingerafdruk al niet eerder kon zijn geregistreerd ... . Als we er van uitgaan dat er nog geen vingerafdrukken in het toestel stonden dan is het filmpje correct aangezien het met een andere vinger gebeurd. Maar 1 manier om zeker te zijn, het zelf proberen.
daar ben ik zelf ook wel benieuwd naar.
voor iedereen die beweerd dat het echt zo makkelijk en goedkoop is, probeer het eens zou ik zeggen :)
ben echt benieuwd of het zo makkelijk lukt.

ik denk zelf dat de vingerafdruk waar de foto van gemaakt moet worden te duidelijk moet zijn om op de gevonden/gestolen telefoon te staan.

Ik vind het nog vele malen beter beveiligd dan een code of patroontje.
als ik in het cafe even mn best doe en om me heen kijk weet ik zeker dat ik vele telefoons kan unlocken als ik ze te pakken krijg.
Overtuigender was geweest als iemand anders met de latex de telefoon unlocked had...
http://www.youtube.com/watch?v=3Hji3kp_i9k
Ook vraag ik me af hoe compleet de bron moet zijn. En of een afrdruk op een bierglas, zoals in de films, voldoende gaat zijn...
Ja, dat is voldoende. Je laat iemand bijv. gewoon een CD-hoesje beetpakken.
Met een database van vingerafdrukken is het dus mogelijk een hoop met eventuele telefoons te doen. Praktisch? Niet zo. Mogelijk? Welzeker.
Haha vingerafdrukken bruteforcen?
Het lijkt me vele malen minder werk iemand zijn passcode af te kijken dan dit allemaal te doen.

Touch-id maakt het voor veel mensen die geen zin hebben in een passcode makkelijk om wel extra security op hun telefoon te zetten. Dat zorgt ervoor dat gemiddeld genomen er meer security is dan daarvoor.

Overigens is iemand knock-out slaan en zijn vinger gebruiken 10x sneller en makkelijker (en je hebt toch die telefoon nog nog).
Of als ze z'on swipe password had, dan zag vaak je gewoon de vingerspoor terug op het scherm. Voorlopig vind ik de vingerscan nog steeds veiliger dan de klassieke methodes en alhoewel het niet waterdicht is, is het goed genoeg om te voorkomen dat mensen in je omgeving zomaar je berichten kunnen lezen en foto's kunnen zien.
Maar wat nou als apple dit dorvoert van niet alleen het toestel ontgrendelen, maar ook aankopen doen in itunes, inloggen op (corperate) websites en toegang tot digitale lockers? In plaats van meerdere wachtwoorden en gebruikersnamen zien te ontvreemden, kun je dan met die ene foto alles.
Het lijkt me vele malen minder werk iemand zijn passcode af te kijken dan dit allemaal te doen.
Tik jij die in als er een onbekende vlak achter of naast je staat?
En wat als je toestel wordt gestolen? Dan kan je (als dief zijnde) niet meekijken wat de code is. Dan neem je als inbreker zijnde een aantal voorwerpen mee waarop een vingerafdruk staat.

[Reactie gewijzigd door kimborntobewild op 24 september 2013 07:35]

Leuk om te zien maar je moet zowel de telefoon als de vingerafdruk zien te krijgen. En dan moet je nog omslachtig te werk gaan. Vraag me af wie dat doet als het een telefoon van Jan met de Pet is.
en waarmee houd je je telefoon vast? juist, je hand! dus die vingerafdruk zit al op het toestel...
Normaal gesproken is wordt je duim uitgelezen voor je vingerafdruk (lijkt me). De meeste keren dat je met je duim op het toestel zit is dit een "puntje" van je duim (om aan te tikken) of om te vegen. Ik zit net zelf eens op te letten, maar ik gebruik maar een klein puntje van m'n duim om icoontjes aan te tikken oid, evenals bij het typen.

Daar komt bij dat als je vingerafdruk op je telefoon zit, je hier ook nog een goede print van moet kunnen afhalen.
Dus wat is de juiste plek om een vingerafdruk vanaf te halen ? Juist , de afdruk lezer ;-)
Makkelijk te omzeilen, als rechtshandige unlock je de phone met je linkerduim, daarna doe je alles, inclusief indrukken van je home button met je linkerwijsvinger of rechterduim (wat ik dus altijd al doe). En de home button gebruik je best wel vaak, want er zitten zo weinig knoppen op de phone.
Laat ze eerst maar eens zien dat ze dat ook voor elkaar kunnen krijgen.. Er staat niet 1 perfecte vingerafdruk op je telefoon.. er staan 10 tallen verschillende allemaal door elkaar heen.. Dan moet je wel exact de juiste zien te vinden... succes daar mee..
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair: Nokia Websites en communities Lumia Smartphones Google Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013