Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties

Apple zegt een patch te hebben doorgevoerd waarmee de kwetsbaarheid die het mogelijk maakte om vanaf een vergrendelde iPhone toegang te krijgen tot foto's en contacten is opgelost. Er is geen software-update nodig, waarschijnlijk heeft Apple de code van Siri aangepast.

Een woordvoerder van Apple heeft de oplossing tegenover The Washington Post bevestigd. In de loop van dinsdagmiddag Nederlandse tijd is de exploit onschadelijk gemaakt. Technische details over de oplossing geeft Apple niet, maar gezien er geen software-update gedownload hoeft te worden, is het aannemelijk dat er een wijziging is doorgevoerd in de werking van Siri.

Dinsdagochtend werd de exploit ontdekt in iOS 9.3.1 op de iPhone 6s. Het was mogelijk om via Siri op het lockscreen bij foto's en contacten te komen, door aan Siri te vragen om Twitter te doorzoeken op tweets met een e-mailadres. Ook zonder de iPhone te ontgrendelen toonde Siri dan tweets met daarin e-mailadressen. Door op zo'n adres te klikken en dit toe te voegen aan een bestaand contact, was het mogelijk om de contactenlijst te benaderen. Toegang tot foto's kon verkregen worden door een nieuw contact te maken en daar een foto aan toe te voegen.

Moderatie-faq Wijzig weergave

Reacties (68)

Apart dat Apple via wijzigingen in de Siri backend blijkbaar toegang kan geven tot een toestel...
Waarom is dat apart? De antwoorden worden online doorgegeven, dus je kan de werking ook aanpassen.
Ik zou verwachten dat het security model en de bijbehorende code op het toestel controleert welke apps geopend kunnen worden met Siri terwijl het toestel gelocked is. Maar blijkbaar regelt Apple dat in de backend en kan het daar dus ook aangepast worden.
De Siri "backend" is een frontend voor de apps. Zodra jij Siri een opdracht geeft wordt dit eerst door de backend in een voor de telefoon begrijpbare opdracht omgezet, en dan kan de security van de telefoon pas ingrijpen.
Natuurlijk had Apple dit via een update in de security op de telefoon aan kunnen passen, en wellicht doen ze dit bij een volgende update, maar door het in de "backend" al te blokkeren kan men het (voorlopig) zonder update van het OS doen.
Er moet read-only toegang zijn tot de contactendatabase anders zou je niet kunnen zien wie je belt als het toestel gelockt is. Herstart een iPhone maar eens zonder in te loggen, dan zul je zien dat van iedereen die je belt alleen het nummer zichtbaar is en geen naam omdat de contacten nog niet gedecrypt zijn.

Wat Apple gedaan zal hebben is de specifiek zoekfunctie middels Siri die gebruikt werd terwijl het toestel gelockt is verwijderen. Dat zal nu alleen nog kunnen met een ingelogd toestel.
Wel interresant voor mitm aanvallen. Als je het voor elkaar zou kunnen krijgen om een apple verbinding te faken tussen een telefoon en de Apple HQ dan kun je dus deze bug weer 'aanwezig' maken, en wellicht wel meer.

Wie heeft er nog een nand backup nodig hiermee, FBI?... ;)
Als je het voor elkaar zou kunnen krijgen om een apple verbinding te faken tussen een telefoon en de Apple HQ dan kun je dus deze bug weer 'aanwezig' maken
Wat je zegt is hier waarschijnlijk waar. Let wel op dat een verbinding faken tussen iDevice en Apple een erg lastige opgave is. Je moet dan ervoor zorgen dat je de private key van Apple hebt, of de key-validatie van het iDevice aan zien te passen (en die validatie wordt weer deels met de secure enclave gedaan). Erg moeilijke aanval voor wat contacten en foto's. Bovendien, als je de iPhone zo ver kan krijgen dat je Apple's key kunt omzeilen, kun je nog veel meer andere en verdergaande zaken.
, en wellicht meer.
Dit is heel onwaarschijnlijk. Als je iPhone gelockt is, encrypt deze zo ongeveer alles wat mogelijk is op je telefoon. Het enige wat gedecrypt is zijn de zaken die op het lockscreen worden gebruikt: contacten, foto's en notificaties. Voor die beperkte lijst items moet Apple dus toegangscontrole invoeren, die dus in het geval van deze en eerder exploits omzeilbaar is. Maar zelfs als je die toegangscontrole omzeilt kun je niet bij gegevens die encrypted zijn. Het aanvalsoppervlak is dus niet groter dan dit.
Als je iPhone gelockt is, encrypt deze zo ongeveer alles wat mogelijk is op je telefoon.
Dat kan niet kloppen als je bedenkt om wat voor bug het ging:
De bug was "vanaf een vergrendelde iPhone toegang krijgen tot foto's en contacten"
Dat betekent dus dat die zaken blijkbaar toch niet ge-encrypt waren zijn! edit: of dat die cryptering er blijkbaar niet toe doet.

[Reactie gewijzigd door Menesis op 6 april 2016 16:24]

Dus als je een siri server kan nabootsen (ala man in the middle), zou je toegang tot foto's en contacten kunnen krijgen...
Maar dan heb je al zoveel toegang tot of het toestel of de Apple server gehad (private key) dat het helemaal niets meer uitmaakt.
Ja, want ik zit er op te wachten om nog een update te installeren. :O
"ik zou verwachten" ja daar gaat het altijd fout.
Omdat het probleem niet is opgelost? De beveiliging hoort op het niveau van het OS te zitten en niet in Siri.
Het probleem is wel opgelost.
In welke opzichte?

Wanneer Apple wijzigingen doorvoert aan Siri op de server mag dit geheel geen invloed hebben op de beveiliging van de iPhone. Nu is er sprake van een afhankelijkheid die er niet hoort te zijn.
Wie zegt dat? Jij? Het is een online dienst die in staat is om bepaalde taken op je telefoon uit te voeren en daarvoor zijn inderdaad de nodige permissies nodig. Mensen die overal bang voor zijn kunnen daarom beter geen gebruik maken van diensten als Siri.
Omdat een online dienst niet mag bepalen of die bij je gegevens mag op je mobiel. De permissies die je toekent of het is toegestaan bepaal je vanuit het OS zelf. Om niet gebruik te maken van Siri is een erg slap argument om iets goed te praten wat niet correct is.
Dat is ook gewoon mogelijk, je kan Twitter voor Siri gewoon uitzetten op je iPhone. Ze hebben alleen een extra regel toegevoegd voor de gebruikers die de feature hebben geactiveerd.

http://i.imgur.com/ynaq96V.png
Ja maar dit zijn geen oplossingen, maar gewoon plakwerk met pleisters. Daarbij laat ik het ook maar.
Eerst claim je dat Apple zich op deze manier tot alle diensten toegang kan verschaffen, laat ik je zien dat alles gewoon op het toestel is uit te schakelen en dan is het plakwerk?
Nee ik claim dat niet, verder ga ik er ook niet meer op in.
Het is in die zin apart dat als ze dit niet clientside fixen ze elk moment serverside deze exploit beschikbaar kunnen maken...
Apple heeft er waarschijnlijk gewoon voor gezorgd dat het Siri commando waarmee je een nieuw contact aanmaakt, niet meer werkt als je iPhone niet ontgrendeld is. Het is dus gewoon een server side fix, in plaats van het fysiek fixen van het toestel zelf.
maar wat belet Apple dan om Siri bjv. toegang te geven tot je mailbox of smsen zonder ontgrendellen?
De bug was dat als je via twitter naar een persoon zoekt en die dan toevoegt aan de contacten je in de contacten app kwam, waarschijnlijk is die functie eruit gesloopt
Nee is niet gesloopt, wanneer ik mijn iPhone 6s vraag om op Twitter te zoeken moeten ik eerst het toestel ontgrendelen, dat is het verschil.
Alleen de resultaten die Siri teruggeeft zijn aangepast. De code op het toestel is niet aangepast.
Waarom is dat apart, je kan toestellen al heel lang op afstand (backend) besturen als het om rechten gaat. denk maar aan de Blackberry
Geeft een grappig inkijkje in de werking/beveiliging van Siri. Schijnbaar heeft Siri dus allerlei rechten op het toestel zelf, maar hangt het van de reactie af of ze iets mag. Dat zet de deur natuurlijk wagenwijd open voor man-in-the-middle aanvallen: als je Siri op ťťn of andere manier weet te 'onderscheppen' en haar reactie aanpast naar iets waarvoor je normaal moet ontgrendelen, heb je dus via Siri toegang.

Laten we hopen dat dit de quick-fix is van Apple en de feitelijke beveiliging iets sterker behoort te zijn dan bovenstaand voorbeeld en in een volgende software fix wordt meegenomen.
Mja, verloopt het verkeer van je toestel naar de Apple servers dan niet versleuteld? Kan je het dan wel aanpassen?
Zeker, maar wie zegt dat je de servers niet kunt aanpassen, SSL-certificaten kunt vervalsen, versleuteling kraken, noem maar op?
Veel software wordt op die manier ook 'gekraakt': door het aanpassen van een activatieserver middels een andere DNS-entry in je hosts-file, wordt de officiŽle activatieserver omzeild en aangepast naar ťťn die ongeacht de sleutel een licensiegoedkeuring stuurt.
Maar dan moet je al toegang hebben tot de telefoon om een CA-cert toe te voegen. Dan maakt het allemaal toch niet meer uit.
Juist in Nederland weten we dat een CA wel eens gemakkelijk verkrijgbaar is.
https://www.security.nl/p...j+DigiNotar-hack+gestolen

Daarnaast zijn er wel vaker probleem CA's in omloop. ( denk aan het gestolen Sony certificaat,) Het blijft dus vooralsnog een reele dreiging waar je op voorbereid moet zijn.
Ander voorbeeld, toch geen kleine jongens certificaten.
Enige tijd geleden is bij een van de bij Comodo aangesloten bedrijven een aantal SSL certificaten bemachtigd voor de volgende domeinen:

- login.live.com
- mail.google.com
- google.com
- login.yahoo.com
- login.skype.com
- addons.mozilla.org

Dit betekent dat er voor deze sites makkelijk 'spoof' domeinen kunnen worden opgezet die zich voordoen als legitiem: ze zullen boven in de browserbalk groen licht geven ten teken dat er een legitiem SSL certificaat voor deze site gebruikt wordt.
Mja... Het zou zomaar kunnen (moeten?) dat Siri gebruik maakt van certificate pinning en dus niet zomaar elk certificaat (valid, signed,...) voor apple.com aanvaardt, maar enkel die met gekende thumbprints/public keys.
Nee, de certificaten zijn gepinned.
Je moet de telefoon al zover krijgen om enerzijds een foutieve server te gebruiken en anderzijds een CA in de certificate store te installeren. Als je dat kan dan heb je deze hack al niet meer nodig.

En dan ga je er ook nog eens van uit dat er geen andere beveiliging word toegepast.
Gewoon een kwestie van decrypten....

Lijkt me inderdaad best mogelijk
Voorheen zijn er hacks geweest waarmee mensen lokaal siri calls/siri server responses afvingen en gebruikten om zelf logica aan te sturen. http://www.yourdailymac.n...of-your-heater-with-siri/

Of het nog steeds kan is de vraag. Ik ben het echter met je eens dat het klinkt als een mogelijk probleem. Het zou kunnen dat siri calls informatie bevatten over of een gebruiker wel niet geauthenticeerd is en ze dat nu gebruiken om het gedrag te beÔnvloeden.

Voor mensen die minder bekend zijn met de werking van Siri: Siri stuurt een audio opname naar Apple servers, die zetten het om naar tekst en laten de iPhone daar lokaal vervolgens iets mee doen.
Maar als Siri bij je contacten en foto's kan zonder dat je je iPhone hoeft te ontgrendelen, dan worden deze gegevens dus zonder encryptie opgeslagen?
De encryptie word al "ontsleutelt" op het moment dat je toestel start. Vanaf dat moment zwerft de sleutel ergens rond in het geheugen van je iPhone, omdat je anders helemaal niets zou kunnen. Dit is ook zo met de full disk encryptie van bijvoorbeeld OS X, Windows en Linux.,
Wat je zegt geldt alleen voor alle iDevices zonder secure enclave, zoals de inmiddels beruchte iPhone 5C. Op iDevices met secure enclave staan de encryption sleutels in een beschermd stukje geheugen van de CPU dat niet benaderbaar is voor gewone applicaties of een forensisch onderzoeker met eindige tijd en budget.

Alle iDevices met een Apple A7 of hoger hebben een dergelijke secure enclave (alle iPhones sinds de 5S (maar dus niet de 5C) en alle iPads sinds de Air 1 en mini 2).
Dan nog is het geheugen op dat moment reeds ontsleuteld. Enkel is er geen toegang tot het device vanwege de vergrendeling. Vergelijkbaar met het vergrendelen van je OS X of Windows device.
Onjuist. iPhones versleutelen wel (het grootste gedeelte van) het geheugen als ze gelockt zijn. Vergrendeling op iPhones werkt echt anders dan op OS X, Windows, en Android.
IOS heeft naar mijn weten 3 verschillende beveiligings niveaus voor data.
1 nooit versleuteld.
2. ontgrendeld nadat user inlogt en ontgrendeld laten tot 48 uur of reboot.
3. En alleen wanneer ontgrendeld als telefoon ontgrendeld weer versleuteld.
Dit is ook zo met de full disk encryptie van bijvoorbeeld OS X, Windows en Linux.,
Bij full disk encryption op desktop computers zwerft er helemaal niet ergens een sleutel rond voordat je je wachtwoord hebt ingevoerd. Je hebt een onversleutelde bootloader die je om je wachtwoord vraagt en vanaf dat moment kan je bij de rest van de schijf. Eigenlijk wordt dus een partitie versleuteld en niet de hele schijf.
Er is daar dan ook helemaal geen noodzaak om bij informatie op het versleutelde volume te kunnen nog voordat het wachtwoord is ingevoerd.
De encryptie sleutel word opgehaald op het moment dat je start, en als je dan je PC vergrendeld dan blijft deze sleutel ergens in het geheugen (of de TPM) hangen.
Nee, pas als je de eerste keer inlogt (de key is een afgeleide van de pincode).
Daarom kan je na een reboot van je iPhone de eerste keer niet met je touchid inloggen.
Nee, pas als je de eerste keer inlogt
Als je iets vergrendeld dan moet het eerst ontgrendeld zijn, er is in zijn voorbeeld dus al ingelogd geweest...
en als je dan je PC vergrendeld dan blijft deze sleutel ergens in het geheugen

[Reactie gewijzigd door watercoolertje op 6 april 2016 14:19]

ik dacht dat die sleutel veilig opgeslagen werd in de secure enclave, waar hij gencrypteerd was met de pincode en met de hash van de fingerprint,
dan kan je er enkel aan als je of wel de code of de fingerprint geeft aan het toestel.

Blijkbaar was ik wat te optimistisch in mijn denken.
iOS is toch versleuteld in de speciale chip op de device.
Alleen het systeem gebruikt verschillende niveaus daarvoor.
Als je je iPhone voor het laatste binnen 48 uur ontgrendeld is de passcode sleutel aanwezig in het toestel. Als je toestel over die 48 uur heen gaat niet. Die passcode sleutel wordt weggegooid. Als iOS ontwikkelaar kan software die ik geschreven ook niet meer bij data uit bijvoorbeeld de keychain.

Ik vermoed dat het hier iets mee te maken heeft. Ik kan me voorstellen dat Siri er dan ook niet bij kan.
Onder het motto dat koffiezetapparaten straks al gevaarlijk zijn, is deze aanpassing dan niet net zo makkelijk terug te draaien? Had het liever in de code-tree opgelost gezien. Krijg nu het gevoel dat ze met een verkeerde template gebruiken het zo weer ongedaan maken. (niet met opzet)

[Reactie gewijzigd door vlaag op 6 april 2016 12:20]

Nou als iemand weet hoe die de verbinding tussen Siri en apple lab aanvallen, ooh wacht op internet zijn al guides te vinden... Dan wordt het heel makkelijk om aanvals vectors te creŽeren.
Die werken dan weer niet helemaal zonder toegang tot het toestel, je moet dan vaak eerst een extra certificaat aan de trusted certs toevoegen. Dan kun je proberen een wifi netwerk met dezelfde sleutel en naam en mac adres te spoofen zodat de iPhone automatisch verbindt en dan zo het verkeer te onderscheppen, al moet je dan nog steeds iets tegen de TLS doen.
in ieder geval is het nooit slim om zon security lek, dat ook zo groots bekend is, OTA op te lossen. Zonder wijziging in het lokaal apparaat.
Als dit op een Android toestel was, dan kon je lang mee wachten voordat de update Łberhaupt komt. ;)
In dit geval niet. Dat zou een Google Now issue zijn en dat kan via de Play Store naar elk toestel gepusht worden.

P.s. vergeet ook niet dat tegenwoordig via maandelijkse security patches (apart van het besturingssysteem) heel veel vulnerabilities opgelost worden.

[Reactie gewijzigd door Chip5y op 6 april 2016 16:46]

Dan kun je altijd nog een nieuw(er) toestel kopen :+
Als je je een toestel van $400,- hebt gekocht, ga je toch niet over een paar maanden of na 1 jaar (als er geen update komt) weer een nieuwe kopen? Het kan wel, maar de meeste mensen doen t niet.
Teveel speelgoed lijdt tot lekken - laat de gebruiker die geintegreerde rommel slopen, dan zal mijn OS terug zo klein zijn als windows 3.1 - enkel wat nodig is - wat te veel is - is te veel.
Wat houdt je tegen W3.1 te gebruiken? ;)
Toch erg opmerkelijk: mijn iPhone is XenMobile MDM device managed en de 1 van de 2 restricties is "Siri while locked Not allowed"
Die bug hadden ze dan mooi voorzien :D ;)
Nee want de iPhone5C was helemaal niet vatbaar voor dit probleem.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True