Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 149 reacties

Google heeft met Android N enkele stappen in de goede richting gezet, maar heeft tegelijkertijd nog heel veel werk te verrichten om encryptie bij Android op een adequate manier te integreren. Dat concludeert een gerenommeerde Amerikaanse security-professor na onderzoek.

Matthew Green, crypto-onderzoeker en professor aan de Johns Hopkins University, nam de details van Android Nougats file-based encryption onder de loep en wat hij zag stemde hem niet vrolijk. Voorheen maakte Android gebruik van full disk encryption, of fde, waarbij opslag op het niveau van sectoren versleuteld worden. Dit is makkelijk te implementeren voor fabrikanten en werkt bij pc's, volgens Green, maar is niet handig bij smartphones.

Gebruikers zetten hun toestel namelijk zelden uit. Android bewaart sleutels in het werkgeheugen om toegang tot de versleutelde opslag te houden, zodat gebruikers hun smartphone gedurende de dag kunnen blijven gebruiken. Vanuit beveiligingsoogpunt is de opslag van sleutels in ram tot de volgende reboot niet ideaal.

Apple gebruikt sinds iOS 4 file based encryption: de versleuteling vindt op bestandsniveau plaats. Door middel van een api kunnen ontwikkelaars van apps uit vier beschermingsniveau's kiezen. Zo kunnen bestanden alleen benaderbaar zijn als het iOS-apparaat unlocked is, waarna de sleutel uit ram gehaald wordt bij hernieuwd locken. Ook kunnen ze kiezen of bestanden versleuteld moeten blijven tot een nieuwe authenticatie, en de sleutels dus in ram blijven tot een reboot. Tenslotte kunnen ze bescherming achterwege laten en kunnen ze geheel nieuwe versleutelde bestanden aanmaken als er geen sleutel in ram is. Dit laatste is bijvoorbeeld het geval bij het maken van foto's als het toestel gelocked is.

Met Android 7.0 Nougat is Google ook overgestapt op file based encryption, met wat het bedrijf Direct Boot noemt. Android N biedt echter maar twee categorieën van bescherming. Ontwikkelaars kunnen kiezen bestanden te versleutelen op basis van de passcode en vrij te geven na een enkele keer invoeren van de code. Daarnaast is er een optie die bestanden niet beschermt op basis van de passcode, zodat ze al beschikbaar zijn voor het invoeren hiervan. Deze laatste kunnen wel hardwarematig versleuteld zijn.

Het probleem is dat juist de veiligste opties die Apple wel biedt, er niet zijn: de full-protection-opties waarbij de sleutel uit het werkgeheugen gehaald wordt bij een lock. Green constateert dat het gevolg is dat er miljoenen apps zijn ontwikkeld op basis van wat hij een 'halfbakken' implementatie noemt. "Zelfs als Android uiteindelijk ondersteuning voor key eviction krijgt, kunnen apps dit niet. Je moet het direct goed doen, of je doet het niet." Hij noemt het geen goed teken voor de lange termijn dat Android anno 2016 nog steeds geen goede encryptie met lockscreen-beveiliging biedt, terwijl Apple dit zes jaar geleden al uitgevogeld heeft.

Moderatie-faq Wijzig weergave

Reacties (149)

Misschien dom gedacht, maar waar zit de meerwaarde van fbe precies? Telefoonhistory? Provider. Email/foto's? Online bij je provider. Social media? Bij de beheerders ervan. WA/consorten? Ontvanger of tussenpartij (dat iets niet gebeurd neemt niet weg dat het niet kan).

Dus tot welk niveau bied dit nog enige vorm van 'extra' bescherming als 90% wat je doet, toch al is/wordt/gaat meegelezen?
Je maakt een aantal twijfelachtige veronderstellingen: dat iedereen alle gegevens online opslaat (dat is beslist niet zo), dat de aanvaller de mogelijkheid heeft om de gegevens bij die databeheerders te verkrijgen (dat geldt misschien voor overheden, maar niet voor hackers) en dat er geen waarde zou zijn om een gestolen toestel gewoon aan een computer te koppelen en uit te lezen.

Het is voor mij vanzelfsprekend dat een systeem door codering wordt beschermd, zeker als het toestel massaal wordt geproduceerd en voor allerlei gegevens kan worden gebruikt. Het is een enorm gemis en voor mij een kernreden waarom ik geen Android-toestel gebruik.
Ik heb 1 linkje voor je..
Dit zijn nou precies de gegevens die je op je telefoon wilt houden.

Nu klopt het dat deze gegevens uit iCloud gehaald zijn, en dus een beetje het doel voorbij schiet, maar ik durf bijna te wedden dat 90% van de mensen die foto's op hun iPhone nemen en gebruik maken van iCloud, niet doorhebben dat *alles* daar terecht komt.

Er zijn zat mensen die via WhatsApp intieme foto's sturen, deze zijn end-to-end encrypted.. (dus WhatsApp/Facebook kan het niet uitlezen) maar als je het "end" deel kunt hacken wegens brakke beveiliging dan heb je niks aan die encryptie.
Daarom heb ik two step authification aanstaan bij icloud. Wordt het in ieder geval iets moeilijker
Yup, ook daar zijn ze bij Apple alweer 2 edities verder mee: sinds iOS 8 dus.

Googles Cloud services? QUOTE: "Google Grade Security For Business-Critical Assets".

;)
Mij dunkt me dat een goede encryptie van een mobiel telefoon vitaal is.

als je kijkt wat je telefoon voor data bezit dan snap ik eigenlijk niet meer waarom hackers zich nog bezig houden met de pc.

Alle wachtwoorden staan opgeslagen op je telefoon. Heb je de setup doorlopen van een bank app kun je zonder two factor authenticatie betalen. Je kan bellen naar dure vreemde landen en persoonlijk heb ik geen fotos meer op mijn pc maar allemaal op een telefoon.

Schikbarend is dat deze data vaak achter een 4 numerieke pincode zit op toestellen dat soms jaren niet geupdate wordt. Google moet echt beter zijn best gaan doen
Ik probeer juist niets van waarde op mijn telefoon achter te laten omdat ik weet dat het onveilig is.
Dit dus.
Lijkt me dat de Fappening wel heeft laten zien dat ook Apple niet perfect is.

Bij de eerste de beste "gratis" app drukken de meeste mensen zonder te lezen op accept en geven zo toegang tot zo ongeveer alles op hun telefoon.
Maar ik heb wel een veilige 2 traps authenticatie ! 8)7
Haha je moet wel het nieuws lezen, het heeft niets met Apple te maken, dat Apple het inlog beleid daarna heeft aangepast was een gevolg van mensen die een zwak wachtwoord gebruiken (en trust me die zijn er meer dan mensen die een sterk ww gebruiken). Het wordt vrij simpel als mensen een wachtwoord als naam+1 gebruiken (bijv. HenkIngrid1 of iloveilse of qwerty12345 of iets dergelijks) het is daarbij werkelijk schrikbarend hoeveel mensen zo'n wachtwoord hebben. Beveiliging gaat altijd maar tot een bepaald niveau. Dat wil zeggen dat er een limiet is en de rest afhankelijk is van de persoon zelf. Een amerikaan kan een wapen kopen om zichzelf te beschermen, maar als hij die laat slingeren en zijn kinderen gaan ermee aan de haal geeft dat geen veilig gevoel meer. Als je gaat pinnen dan waan je jezelf ook veilig achter je 4 cijferige pincode, maar als er mensen meekijken achter je dan is dat ook niet veilig.

Uiteindelijk doet Apple zijn best om de beveiliging zo sterk mogelijk te maken, maar kan Apple weinig veranderen aan mensen die standvastig weigeren (die zijn er veel) hun wachtwoord te veranderen.
U bedoelt? Want Ik lees in bovenstaand bericht toch echt van alles over Apple en vooral over hoe goed ze zijn. Zonder ook maar 1 kritische noot.

Dat dat op zich niks te maken heeft met steken die Google laat vallen ben ik helemaal met je eens. Bovenstaand stukje had ook prima geschreven kunnnen worden zonder het woord Apple ook maar 1 keer te laten vallen.

En inderdaad, als je de rest van mijn reacties gelezen had, dan had je kunnen zien dat ik dat ook had geschreven.
Dus misschien moet jezelf eerst even het commentaar volledig doorlezen.

[Reactie gewijzigd door arbraxas op 24 november 2016 21:35]

Ik heb het over de "fappening" waarbij de iclouds gehacked waren van celebrities. Overigens vind ik hacken iets anders als password raden, aangezien ik dat bij zeker een kwart van mijn vrienden zo kan doen (vanwege de zwakke ww die ze gebruiken). Ergens zegt u ook dat men geen gevoelige bestanden op een telefoon moet bewaren, mag ik vragen waar dan wel op? Want naar mijn weten zijn pc's nog steeds het meest kwetsbaar voor aanvallen en in de meeste gevallen eenvoudiger dan het hacken/kraken van een telefoon (zoals we gezien hebben met de FBI case over die iphone 5c, die inmiddels al weer jaren oud is).
Dat had niks met de veiligheid van Apple te maken, maar met het niet goed beveiligen van de accounts zelf door de gebruikers.
Omdat mensen menen "Gebeurd mij niet, ik heb Apple!"

En dit soort berichten waarin word geimpliceerd dat Apple veilig is en Android niet maakt dat alleen maar erger.
Mensen moeten zich eens realiseren dat een mobiel het grootste veiligheidsrisico in hun huishouden is. Merk maakt niet uit.
Wat wil je dan? Liever niet erover schrijven dat Apple zijn huiswerk op dit vlak gewoon aantoonbaar beter doet dan Google? Conclusies mag je zelf trekken, daar is auteur niet verantwoordelijk voor.

Ik verwerp ook het nihilistische standpunt dat je maar beter niets op een smartphone kunt bewaren, omdat het ‘nooit’ veilig zou kunnen zijn. Zo hoge eisen stellen veel mensen ook niet aan hun computers of routers. Stel eerder de vraag waarom in 2016 zoiets basaals als codering niet standaard aanwezig is op Android en Windows, waar het leeuwendeel van personal computing op gebeurt. Ik vind het volkomen inacceptabel dat men daar nog steeds mee wegkomt.

[Reactie gewijzigd door Eitot op 24 november 2016 19:58]

Maar de auteur is wel verantwoordelijk voor de toon waarin hij het bericht schrijft. En er zit geen enkele nuancering in dit stukje.
Apple = good, Android = bad.

En verder ben ik wel van mening dat je bestanden die encryptie vereisen je niet op een mobiel moet bewaren.
In dit artikel is dat toch ook het geval. Dat de encryptie van apple beter is dan android. Scheelt dat tweakers wel neutraal is naar mijn mening. Zoek maar eens wat meer android artikelen op.
Alweer licht je niets toe, ik zie dan ook geen verdere grondslag voor commentaar. Als je alleen dat uit het artikel opmaakt, dan kun je beter artikels over Apple mijden.

Ter aanvulling, ik vind het artikel genuanceerd, gelet op het specifieke onderwerp. Het is een feitelijke constatering dat Google nu dezelfde methode gebruikt als Apple. Prof. Green, met expertise op dit gebied, heeft vervolgens beide methoden vergeleken en geconstateerd dat Google’s methode op een aantal voor hem cruciale punten tekortschiet. Hij legt uit waarom dat in zijn opvatting een teleurstelling is.

Ook al ben je van mening dat je geen bestanden op een mobiel toestel moet bewaren, dat is technisch onmogelijk. Bijna elk proces maakt gegevens aan en slaat deze op, meestal in de vorm van caches maar ook in duurzame vorm. Zelfs al zijn het geen persoonlijke documenten, een smartphone houdt van alles bij. Wil je echt argumenteren dat codering op een smartphone tevergeefse moeite is?
Waarom is dit een eenzijdig verhaal? Omdat Google er minder goed uitkomt? Apple heeft Fappening gehad (in 2014) en heeft het probleem ondertussen opgelost. Was er een probleem? Ja! Is het ondertussen opgelost? Ja. Is er een Fappening 2.0? Voorlopig niet. Zijn er in het verleden ook security issues geweest bij Google? Tuurlijk.

Ik heb mijn telefoon (een iPhone, werd me aangeraden door specialisten terzake) nodig voor de uitoefening van mijn job, de telefoon is onmisbaar. Mijn telefoon staat vol vertrouwelijke bestanden en wordt dan ook beveiligd met een (degelijk) wachtwoord (random picked met speciale karakters) en mijn vingerafdruk. Mijn icloud is beveiligd met een 20+ karakter wachtwoord met daarin meerdere speciale tekens en ik log nooit in op icloud via een PC. Ik betwijfel dat ik ooit problemen zal krijgen....
Mijn vertrouwelijke bestanden staan op de telefoon, niet op icloud. De kans dat ze erbij geraken is klein. Stel nu nog dat de NSA of welke overheidsinstantie het alsnog de moeite zou vinden om mijn telefoon te hacken of via een eventuele backdoor binnen te komen (nee, die is er niet, de FBI had Cellebrite nodig om een iphone 5C, een ondertussen hopeloos verouderd toestel, te kraken), dan is dat nog niet echt een probleem, het zijn geen "bedrijfsgeheimen" die mijn werkgever zullen schaden.

Bovendien zeg je dat Apple bij Fappening zijn encryptie op orde had, dat klopt helemaal, je hebt gelijk, het was een foutje in een API en had geen ene reet met de encryptie te maken.

Mijn vertrouwen in Apple is inderdaad best groot, waarom? Ze hebben dat vertrouwen nog nooit beschaamd. In het artikel lees je dat een professor met kennis ter zake concludeert dat Google zijn zaakjes niet op orde heeft, waar Apple die zaakjes wel op orde heeft. Daarmee is alles gezegd denk ik.

Nu, ik wil ook terug naar een Blackberry, geloof me. Zeker als zakelijke telefoon. Ik vrees echter dat we Blackberry ondertussen helemaal kunnen afschrijven....
"En verder ben ik wel van mening dat je bestanden die encryptie vereisen je niet op een mobiel moet bewaren."

Sorry, sinds wanneer is mobiel ondergeschikt voor gevoelige bestanden? Is een laptop dan zoveel veiliger? Veiligheid is topprioriteit nr 1 voor mij. Ik verbied mij medewerkers met Android rond te werken omdat de veiligheid de wensen overlaat.

Je gaat er dus ook vanuit dat encryptie enkel dient voor gevoelige bestanden? Zonde.

Over de toon van de auteur spreek ik me niet uit maar veel mensen zijn zich niet bewust dat Android zware steken laat vallen op vlak van encryptie en dat mag best bekend worden in de zakenwereld. Als je uw telefoon verliest zou er geen grammetje informatie in verkeerde handen mogen vallen, zelfs niet na brute force.

Vergeet niet dat vele landen zoals China en Rusland er een sport van maken laptops en slartphones van zakenmannen/vrouwen die een bzoekje brengen te khacken in de hoop informatie te krijgen over prototypes, patenten, r&d , beursinfo etc. Geheime diensten hebben 100% vrij spel als je op hun grondgebied bent.

Naast professionals heeft ook de consument het recht om zijn data op zijn telefoon 100% af te schermen van de overheid of hackers. iedereen is akkoord, maar toch blijft iedereen Android kopen en zijn veel Android phones niet encrypted.

[Reactie gewijzigd door Coolstart op 24 november 2016 21:20]

Niets is heilig maar door encryptie en stevige wachtwoorden en 2-step verification toe te passen maak je het (staats)hackers veel moeilijker. Het het mag gezegd worden dat android op encryptievlak steken laat vallen.

Ik bezie het vrij rationeel dus slecht slapen doe ik niet. Encryptie serieus nemen dan weer wel. No android for me.

edit typo

[Reactie gewijzigd door Coolstart op 24 november 2016 22:15]

Risico = impact * kans

Kans dat je telefoon gehackt wordt is in de praktijk gewoon klein.

Ik heb nog nooit gehoord dat iemand's rekening is geplunderd omdat zijn telefoon gehackt was. In theorie mogelijk, in de praktijk gebeurt het letterlijk nooit. De kans dat een telefoon je dodelijk verwondt omdat de accu ontploft is groter.

Wees realistisch.
Risico = impact * kans

Kans dat je telefoon gehackt wordt is in de praktijk gewoon klein.

Ik heb nog nooit gehoord dat iemand's rekening is geplunderd omdat zijn telefoon gehackt was. In theorie mogelijk, in de praktijk gebeurt het letterlijk nooit. De kans dat een telefoon je dodelijk verwondt omdat de accu ontploft is groter.

Wees realistisch.
Ben ik. Ik kan nog steeds zonder. Speelt ook mee dat ik vind dat contant geld moet blijven.
Ik zit er niet op te wachten dat er straks alleen maar een digitale variant is die tot op de cent kan naspeuren waar je het allemaal aan uitgeeft.
Geen mens leest die elle lange voorwaardes. Het is net als de o.a. het christelijke geloof. Geen mens leest de bijbel maar drukt gewoon op accepteren. Dat terwijl er toch wel wat issues zijn met apps (en ook de bijbel trouwens)
Heb je de setup doorlopen van een bank app kun je zonder two factor authenticatie betalen.
welke bank zit jij dan bij? Mijn bank (RBS) moet ik na het unlocken van mijn toestel de app van de bank openen en dan ofwel via Touch ID of een 8-cijferige code inloggen.
Schikbarend is dat deze data vaak achter een 4 numerieke pincode zit op toestellen dat soms jaren niet geupdate wordt. Google moet echt beter zijn best gaan doen
Vaak wel, daarom vond ik het persoonlijk goed dat Apple bijna mensen dwong om naar een 6-cijferige code te gaan recentelijk. Ik gebruik bijna altijd touch-ID maar vind het wel goed dat er meer dan 4 cijfers nodig zijn om te unlocken.
Touch ID of een 8-cijferige code<> two factor authenticatie...
dat klopt. Maar je moet al de telefoon unlocken met 6 cijferige code of touch ID, dan op de app inloggen met 8 cijferige code of touch ID. Dat is al behoorlijk veilig. En ik kan dan geld overmaken naar gekende rekeningen, maar niet naar nieuwe rekeningen zonder 2 factor
Waar, zolang je telefoon niet reeds gehacked is...
Heb je de setup doorlopen van een bank app kun je zonder two factor authenticatie betalen.
Ik weet niet hoe het bij andere banken zit maar bij de ING moet ik 1. telefoon unlocken en 2. een code binnen de app zelf invoeren voor betalingen.
Da's geen two factor; het zijn voor jou wel twee stappen maar de eerste heeft niks te maken met je beveiligde verbinding met de bank. Een derde persoon die je probeert te hacken hoeft die unlock dus niet na te bootsen, omdat die stap geen deel uitmaakt van het beveiligde inlogprotocol van de bank-app.
hoe stel je dan voor een 2fa in te stellen op een mobiel waar de app al op staat ?
Door bijvoorbeeld je app-installatie te koppelen aan je 06, waarbij de bank een bericht stuurt naar je 06 met een specifieke (tijdsgebonden) code. Op die manier is in ieder geval de zekerheid dat de gebruiker zowel de juiste code weet, als verbinding maakt met het juiste apparaat. Dit kan trouwens gewoon automatisch uitgelezen worden, net zoals wanneer je je telefoonnummer voor het eerst registreert bij WhatsApp.
ING (maar ook Rabo en ongetwijfeld ook andere banken) koppelen je toestel aan je app-installatie. Niet eens je 06 nummer, maar echt je toestel. Zelfs als je je toestel opnieuw installeert moet je hem opnieuw authentificeren door in te loggen op mijn ING en vervolgens een authentificatiecode in te voeren die per sms verzonden wordt.
Daarnaast heb je ook je pasnummer nodig.

De installatie van de app zelf is dus al two (eigenlijk zelfs three) factor.

[Reactie gewijzigd door renevanh op 24 november 2016 20:24]

Oneens, als je je iphone via itunes backupt en die backup terugzet op een nieuw toestel hoef je niet opnieuw in te loggen bij rabo.
Of door het gebruik van de Random Reader (Rabobank) bijvoorbeeld. Hiermee zorg je ervoor dat toegang tot een smartphone niet genoeg is om een betaling uit te voeren, maar dat de pinpas + pincode benodigd is. Wat dat betreft heeft de Rabobank het wat mij betreft beter voor elkaar.
op het moment dat een hacker in je telefoon zit heeft een two factor toch helemaal geen zin meer? Hij zit in je telefoon en kan dus je smsjes enzo ontvangen, zal waarschijnlijk ook bij je email kunnen want daar ben je ook wel eens op ingelogd op je mobiel. In feite zou desbetreffende hacker bij bijna al je gegevens kunnen op het moment dat hij in je mobiel zit.
Voordeel van de rabobank is echt wel de random scanner. Bij iedere betaling heb je m nodig. voelt toch een stuk veiliger
Is in de app wel uit te schakelen, helaas...
Dat weet de Random reader/scanner niet maar de bank wel. Elke pas heeft een nummer, het gaat je echt niet lukken om een transactie te voltooien met een geblokkeerde pas. Android mag de beveiliging niet op orde hebben, de banken hebben dat wel. Een pinpas is sinds de overgang op de chip niet zomaar te kopiëren. Dus nou nee, de kans dat de chip gekopieerd wordt en de pincode achterhaald is heel erg klein.

[Reactie gewijzigd door dezwarteziel op 24 november 2016 20:44]

Ach deze week werd bekend dat met een eenvoudige hackook toegang kon worden verkregen tot onderdelen op de iPhone. Ook Apple moet beter zijn wel werk doen dus
Met volledige backups van alle gebruikersbestanden en instellingen hetzelfde, dat is ook zo'n voorbeeld van meer volwassenheid bij Apple. Daar werkt het simpel: je hebt iOS en je hebt je eigen data. Het staat vast waar dit is opgeslagen. Als je telefoon kapot is haal je een nieuwe, stel je 'm in en krijg je vanzelf de vraag of je een backup wil terugzetten. Bij een restore komt iOS van Apple vandaan en je eigen data uit je backup.

Bij Android kan je zonder het toestel te rooten niet met 1 klik een backup maken die echt in dezelfde staat weer herstelt op een nieuw apparaat als je telefoon in de plee valt, dat wil zeggen dat van buitenaf wordt bepaald wat systeem is en wat je eigen data (app data, instellingen, etc) en dat ie deze eigen data altijd volledig herstelt i.p.v. de apps hier verantwoordelijk voor te laten zijn, waarom is dat zo lastig? Misschien wel een logisch gevolg van iets teveel vrijheid in het platform om je eigen data te zetten waar jij het wil....

[Reactie gewijzigd door Sfynx op 24 november 2016 18:49]

Ook Android kent backup/restore vanuit het systeem zelf, genaamd Google backup. Nadeel van dit systeem, als de app zelf niet gebruik maakt van de Google Backup service API's zal deze ook niet worden mee genomen in deze backup. Weet niet of het bij iOS zo is dat per definitie alle app data wel gebackupped wordt of dat een app dat moet aangeven. Maar Android heeft wel degelijk de mogelijkheid om alle app data automatisch te backuppen.
Overigens heb je bij Android geen root nodig voor 1 click backup, daar zijn oplossingen voor maar heb je weer een PC nodig met software om die backup te maken.

[Reactie gewijzigd door RebelwaClue op 24 november 2016 19:19]

Bij iOS werkt dat andersom, je moet aangeven wat niet gebackupt dient te worden:
https://developer.apple.c...ent/qa/qa1719/_index.html
Standaard wordt dus gewoon de complete data container van een app gekopieerd, tenzij.
Gevoelige gegevens die in de daarvoor bestemde keychain staan worden alleen gebackupt als de backup versleuteld is, dat is eigenlijk het enige waar je op bedacht moet zijn.
Scheelt natuurlijk ook dat Apple zeker weet dat al je user data in die container staat en niet op een of andere SD kaart of op andere onverwachte locaties.

[Reactie gewijzigd door Sfynx op 24 november 2016 19:41]

Dat is inderdaad een voordeel van een vaste app data locatie. :)
Er zijn wel meer dingen die Apple beter geregeld heeft.

Een minder bekend voorbeeld is accessibility, voor de blinde of slechtziende medemens. Die hebben standaard een iPhone omdat dat het enige platform is wat serieuze ondersteuning bied.

En dat had Apple helemaal niet hoeven doen, met al hun geld. Maar het zit er al in sinds versie 1.

Dit puur om aan te tonen dat Apple ook een menselijke kant heeft.
Nee, maar volgens mij ben jij wel vergeten dat de iPhone 5c in 2013 uitkwam - 3 jaar geleden dus.
De beveiliging van dat model heeft dan weinig te maken met de huidige encryptie waar nu vergeleken mee wordt. De iPhone heeft flinke hard- en softwareverbeteringen gekregen in de tussentijd.
En vergeet ook niet dat het ze veel moeite heeft gekost voordat ze überhaupt iets met die 5c konden.

Dus het kan best dat in 2013 Apple's encryptie nog niet helemaal goed was, maar dat maakt het niet dat Google *op dit moment* geen jaren achterloopt op Apple. :P Wat had Google dan in 2013, en hoe veilig was dat...? Dat zou een eerlijkere vergelijking zijn in deze context. ;)

[Reactie gewijzigd door WhatsappHack op 24 november 2016 18:21]

Je bedoelt zo iets als dit: https://www.youtube.com/watch?v=LWJG5I8xCDU

How to unlock any iphone without passcode access photoscontats more iO 9/10-10.2
Ja want dat is ook echt hetzelfde en vergelijkbaar met algeheel slechtere bestandsencryptie. Dan kan ik ook wel gaan strooien met stagefright enzo. Geen enkel systeem, ook dat van Apple, is 100% waterdicht.

Waar dit artikel om gaat is dat Android achterloopt op Apple, niet dat Apple onpenetreerbare beveiliging heeft of nooit steken laat vallen...
Waar in het filmpje word de telefoon ge-unlocked? Je kan alleen bij foto's en contacten maar verder geen echte informatie zoals mails en chat gesprekken.
Nee, maar dat is geen aanval op het crypto-systeem maar op het wachtwoord van de eindgebruiker.
Dat je dit soort methoden moet toepassen om toegang tot een toestel te kraken is een hele fraaie 'proof of concept', maar geeft toch wel aan dat de beveiliging van de iPhone op zich in orde is: Het is uiteindelijk een zeer omslachtige manier om de pincode te brute-forcen. Dat betekent dus ook dat het met de (tegenwoordig standaard) 6-cijferige pincodes een factor 100 langer zal duren en dan laten we de verbeterde bescherming in nieuwere iPhones nog buiten beschouwing.
Het artikel onderbouwt eigenlijk dat de codering van een iPhone goed is ontworpen. Wat dat artikel uitlegt is een methode om een hardware-beperking van de iPhone te omzeilen die verhindert dat een aanvaller een willekeurig aantal pogingen krijgt om een code te kunnen raden met brute-force (dat is normaal beperkt tot 10 pogingen). Het artikel onderstreept het belang van een sterk wachtwoord: als de codering aan een wachtwoord van 4 cijfers is gekoppeld, schiet je nog niet veel op.

Ik kan zo niet zeggen of dezelfde methode zonder meer op een iPhone 5S en later werkt, omdat deze de versleuteling (en de teller) aan een aparte chip hebben overgedragen. Dat maakt het al een stuk lastiger om de hardware te omzeilen.
5C is een iPhone 5 met een kleurtje, dus een dik 4 jaar oude telefoon die veel minder hardware matige bescherming heeft zoals secure enclave. Geen goede vergelijking.
Is alleen mogelijk met de 5c en ouder, niet de nieuwere.
Hoe verhoudt Windows Phone zich hiertoe? Voor zover ik weet is Bitlocker by default enabled op WP, wat dus een full drive encryption is. File based encryption bestaat ook in Windows, nl EFS, maar ik weet niet of dat geleveraged wordt in apps.
Apple staat al jaren op nummer 1, als het gaat om het operating system / de operating systems met de meest bekende vulnerabilities;

http://venturebeat.com/20...5-mac-os-x-ios-and-flash/

http://www.gfi.com/blog/2...-most-vulnerable-players/
Software with the most vulnerabilities in 2015: Mac OS X, iOS, and Flash
Maar gelukkig zegt het artikel zelf ook al wijs dat het eigenlijk niks zegt over de veiligheid van software:

"Again, this list paints a picture of the number of publicly known vulnerabilities, not of all vulnerabilities, nor of the overall security of a given piece of software"
Device encryptionop Windows 10 Mobile is aanwezig en werkt erg goed, Hij encrypt standaard alle apps zoals ik het zie in mijn lumia 950, (correct me if im wrong)
Om nog maar te zwijgen over de 'encryptie bug' die in Android 5 en 6 zit waarbij het wachtwoord wordt gereset. Dit komt voor als er een accessibility service wordt aangezet, dan reset het wachtwoord naar default_password.
Device encryption is actually impacted on 5.0 devices when accessibility is enabled. We use a device id stored in trust zone and the lock pattern/pin to generate a key which is needed to decrypt the data partition. To unlock your device you need to enter your credentials at which point no accessibility service can run since its data folder is encrypted. This would lock out a blind user out of the device.

To mitigate this enabling an accessibility plugin leads to using the device id from trust zone and a default key to lock the device. Still secure as cracking in trust zone is hard but less secure than using device id and credentials. Note that we also allow the user to go to the secure settings and enable a credential prompt on boot despite accessibility plugins being enabled. Now that N supports file based encryption this is no longer an issue.
Bron: https://code.google.com/p/android/issues/detail?id=219498#c9

[Reactie gewijzigd door Winkey op 24 november 2016 17:51]

Zullen we anders voortaan de mogelijkheid om reacties te geven bij Apple en Android nieuws maar gewoon uitzetten?

Mijn god wat een jengelende kleuterklas aan reacties zeg.
Ik vraag me af hoe secure Android is op de BlackBerry smartphones
Dit is makkelijk te implementeren voor fabrikanten en werkt bij pc's, volgens Green, maar is niet handig bij smartphones.

Gebruikers zetten hun toestel namelijk zelden uit


Ik vind deze gevolgtrekking een beetje vreemd. Er zijn zat PC's die nooit uit gaan.
Ik mag toch hopen dat beveiligingsexperts er niet van uit gaan dat je je PC regelmatig uit doet en daar hun beveiliging op baseren. Het lijkt me onwaarschijnlijk. Als Google dat wel doet is dat erg kwalijk.
Ik hoor niets van de extra beveiliging die BlackBerry levert op Android.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True