Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Apple test verbeterde bescherming tegen ontgrendeltools in iOS 12-bèta'

Apple heeft opnieuw een functie genaamd 'usb restricted mode' opgenomen in de bètaversie van iOS 12 en iOS 11.4.1, nadat deze in andere vorm in eerdere versies voorkwam. Deze modus moet beschermen tegen ontgrendeltools, die bijvoorbeeld door opsporingsdiensten worden gebruikt.

Afbeelding via Motherboard

De variant van de functie in de meest recente bèta's van Apple is scherper afgesteld dan eerdere versies, bijvoorbeeld in de bèta van iOS 11.3, schrijft Motherboard. Bovendien zou de functie standaard aanstaan in de bèta's van iOS 12 en 11.4.1. Restricted mode houdt in dat een iPhone ontgrendeld moet worden voor gebruik met usb-accessoires. In eerdere versies was dit nodig als er meer dan een week was verstreken na de laatste ontgrendeling. In de nieuwe bèta's zou deze periode zijn teruggebracht naar een uur. Tot nu toe is de functie echter nog nooit in een stabiele iOS-release terechtgekomen.

Volgens Ryan Duff, een beveiligingszonderzoeker die met de site sprak, maakt deze functie ontgrendeltools onbruikbaar, op voorwaarde dat iOS inderdaad geen enkele dataverbinding via usb toelaat zolang het toestel niet is ontgrendeld. Hij doelt daarmee op tools van bedrijven als Cellebrite en Grayshift. Dit laatste bedrijf, een Amerikaanse start-up, verkoopt volgens eerdere berichtgeving een apparaat waarmee in te breken is op iPhones met bijvoorbeeld iOS 10 en 11. Daarvoor moet het betreffende toestel via usb met het zogenaamde GrayKey-apparaat zijn verbonden.

Het is onduidelijk of en op welk moment Apple de functie in een stabiele release zal opnemen. Het bedrijf reageerde niet op vragen van Motherboard. Hetzelfde geldt voor Grayshift en Cellebrite. Apple presenteerde maandagavond zijn nieuwste versie van iOS.

Door Sander van Voorst

Nieuwsredacteur

05-06-2018 • 07:25

81 Linkedin Google+

Reacties (81)

Wijzig sortering
Ik zou het ook graag zelf 'aan' willen zetten, lijkt mij wel handig als je hem bijvoorbeeld, alleen maar op wil laden met behulp van een usb poort
Het opladen van de telefoon heeft niets met deze beveiligingsfeature te maken, dat kan namelijk altijd. USB is een kabel voor stroom en data, waarbij deze twee onafhankelijk van elkaar werken. Er zijn apparaten die nemen enkel stroom af, maar er zijn ook apparaten met hun eigen stroomtoevoer en nemen enkel data af. Wat Apple met deze feature doet is simpelweg alle data van en naar de USB kabel blokkeren, alsof het apparaat geen data ondersteunt. De stroomtoevoer blijft daarbij gewoon werken.
Mel33's punt is, is dat-ie wil opladen aan een willekeurige USB poort zonder data-toegang te geven
Dat kan al jaren, zolang je de telefoon niet unlocked en/of de computer vertrouwd. Dan kan de USB poort niet bij de data, maar de telefoon reageert wel op de dataverbinding. Stel je sluit je iPhone aan op de computer van je buurman om hem op te laden, kan deze computer niet bij de data zolang je de computer niet explicit vertrouwd. Tenzij je paranoïde bent, is dat veilig genoeg. Het probleem hierbij is dat de data poort met gespecialiseerde tools en software te hacken valt, maar dat hacken duurt langer dan de tijd die je nodig hebt om je telefoon op te laden.

Deze beveiligingsfeature schakelt de data poort volledig uit als je de telefoon een aantal dagen niet unlocked hebt, bijvoorbeeld omdat je hem verloren hebt of hij gestolen is. Dan is er principe genoeg tijd om hem te hacken met gespecialiseerde tools. Maar omdat de data poort wordt uitgeschakeld, kan dat niet meer. Dit is dus een extra beveiliging, en niet de enige.
'veilig genoeg' is voor iedereen verschillend. Een jailbreak werd vroeger uitgevoerd via de usb-poort. Daarbij werd niet gevraagd of ik de computer vertrouw. Ik zou het bijzonder onprettig vinden als ik ergens een usb-poort gebruik (bv in die nieuwe treinen, of in een restaurant) en mijn toestel stiekem leeggetrokken kan worden. Totnutoe kun je dat niet echt uitschakelen, ik zou het erg fijn vinden als dat wel kan.
Een jailbreak werd vroeger uitgevoerd via de usb-poort. Daarbij werd niet gevraagd of ik de computer vertrouw. Ik zou het bijzonder onprettig vinden als ik ergens een usb-poort gebruik (bv in die nieuwe treinen, of in een restaurant) en mijn toestel stiekem leeggetrokken kan worden. Totnutoe kun je dat niet echt uitschakelen, ik zou het erg fijn vinden als dat wel kan.
Zowel vroeger las tegenwoordig ligt het aan de jailbreak en dus de relevante exploits hoe een jailbreak wordt uitgevoerd (denk aan een drive-by exploit in Safari). De laatste jaren moest je de computer wel vertrouwen voor je de jailbreak kon uitvoeren.
Naast dat het ligt aan het type jailbreak, is het eigenlijk al jaren zo dat je wel degelijk een pc met voldoende toegang moet hebben. Ook moet je toestel ontgrendeld zijn. Vertrouwen heeft daar verder niets mee te maken. Het vertrouwen slaat namelijk op verdere verbindingen die worden gelegd nadat je hem weer eens eruit hebt gehad. Dan kan een computer met vertrouwen direct wat doen met het toestel (zoals een update uitvoeren) zonder ontgrendeling. Echter kan een apparaat dan nog steeds niet zomaar bij de data zelf aangezien die vergrendeld is dmv de secure enclave gelinkt aan de code.
Als ik me goed herinner kun je ook een USB-kabel gebruiken die alleen de twee draden voor stroomtoevoer heeft aangesloten. Dan valt er hoe dan ook geen data mee te versturen.

cc @ThomasG @Mel33 @Gamebuster
Dat bedoelt ie ;-)
Dat is een leuk idee voor nieuwe apparaten, maar hoe haal je de fysieke poort weg op de al verkochte modellen? ;)

Het gaat er hier puur om dat ze die bedrijfjes tegenwerken die zeggen die toestellen te kunnen hacken. Met deze manier beschermen ze gelijk alle users (die updaten), dus vanaf de 5s.
Dichtkitten :+
De app om de iPhone waterdicht te maken is heel veel gedownload.
Misschien komt er ook een kit-app :-)
Moet je dan overal een inductielader mee zeulen? USB poorten zijn bijna overal te vinden, dus ik denk dat opladen via USB nog wel een tijdje zal blijven. Bovendien is data transfer (foto's, muziek, video) via USB/Lightning sneller dan draadloos.
Moet je dan overal een inductielader mee zeulen?
Ja. Misschien is een USB aansluiting enkel voor laden ook een oplossing. ;)
Misschien is een USB aansluiting enkel voor laden ook een oplossing
En dat wordt het dan ook na 1 uur met deze wijziging. Toch mooi, niet?
Ik zou daar maar niet zo zeker van zijn. Apple is overduidelijk op weg naar een smartphone zonder ook maar een opening. Niet alleen om esthetische redenen maar ook omdat het de constructie eenvoudiger, steviger en goedkoper maakt. Technisch is het allemaal al mogelijk, de klanten zijn er alleen nog niet rijp voor.
Apple zei al een dergelijk iets toen ze 3.5mm poort afschaften. Dan zeul je maar een dongle mee als je die poort alsnog wilt gebruiken.
Verschil is dat je die relatief kleine dongle gewoon aan je headphones/earphones kan laten zitten.
En als door een fout te toestel bricked is? Dan heb je toch een vorm van fysieke aansluiting nodig om ‘m te restoren.
Een heleboel apparaten hebben om die reden ook een interne J-Tag connector.

[Reactie gewijzigd door Goldwing1973 op 5 juni 2018 07:40]

Ja, en als hij dan maar volledig wordt gewist in dat recover proces. (Of eigenlijk: encrypty keys gewist) lekt er geen gebruikersdata.
“ Bij een toestel zonder fysieke aansluiting zou dat bijvoorbeeld via een wifi verbinding kunnen.”
Hoe wil je een ssid kiezen en code invoeren bij een bricked toestel?
Recovery mode. macOS devices hebben een recovery mode in de firmware zitten die zelfs het laatst gebruikte SSID en wachtwoord onthouden. Als je een OS reinstall wil doen op een totaal blanco schijf boot je die firmware en stream je het OS via internet naar je schijf. Of nou ja, 'streamen'.. je downloadt het letterlijk en installeert het 'live'.

Ik neem even aan dat een iPhone hetzelfde heeft. Je kunt altijd wel een soortement recovery booten zolang er nog stroom naar het moederbord loopt.
Niet, maar dat is ook niet nodig. Je kunt ook het device als ap laten werken in recovery mode, waarna je je telefoon/computer daar mee verbind.
Diverse apparaten werken al op een dergelijke manier voor configuratie.
Ontrecht dat je gemind wordt, maar te laat om te corrigeren. Dit is gewoon precies wat ik dacht.
Dat is wel waar Apple heen zou willen. De praktijk blijkt weerbarstiger.

Apple kreeg al veel (al dan niet terechte) kritiek met het laten vallen van de 3.5mm. Als ze ook lightning laten vallen wordt het helemaal een pandemonium.
In plaats van een kabeltje moet je dan een sjoelschijf meezuilen? Of zo'n schijf vasthouden als je wilt laden én gebruiken? Daarnaast, inductie is slechter voor de accu. Een usb-kabel is tevens nog handig voor service en reparatie. Daarnaast heb je zo nog de optie om bekabeld te luisteren.
Daarnaast, inductie is slechter voor de accu
Zijn dat andere electronen dan?
Vaak wordt de accu heter bij draadloos opladen (overigens ook bij snelladen) en dat is minder goed voor een accu. Overigens is draadloos opladen ook minder efficiënt.
Waardoor wordt hij warmer? Ik dacht dat draadloos laden juist langzamer ging.

Dat het minder efficiënt is… vast wel, maar dat is betrekkelijk. De energie die nodig is voor het opladen van een telefoon is zo weinig, dat dit een verwaarloosbaar probleem is in vergelijking met zo'n beetje alles wat huishoudelijke elektrische apparaten aan verliezen hebben. Als je pakweg 1x een waterkoker aanzet, heb je waarschijnlijk meer energie verspilt aan het opwekken van warmte die je toch niet gebruikt dan je in 20 jaar zou verspillen door je telefoon via inductie op te laden.
Ik verwacht dat de USB poort tijdens productie en testen nog onmisbaar is.
Jemig, gaat de 3.5mm discussie nog steeds door na een aantal jaar?

|:(
De 3,5mm discussie wordt er eentje zoals, vroegah was alles beter.
En toch gebruiken de voorstanders van 3,5mm óók geen coax meer voor hun netwerk thuis - uiteindelijk is het alternatief tóch echt beter.
Welk alternatief voor 3.5mm? En wat is er beter aan?
Ja, welk alternatief... was er maar zoiets als draadloze verbindingen of zo, ik weet niet, zou dat wat wezen?
Beter zei je toch? 'Echt beter' zelfs. Vertel, hoe is draadloos in alle optiek beter?

Anders, ja, dat is het. Maar 'beter'? Een platte kabel aan je hoofdtelefoon ipv een rond snoer, dat is beter, dan raakt het niet (of minder) in de knoop en het helpt tegen draadbreuk. Heeft ook geen echte praktische nadelen voor gebruikers.
Géén snoer, breekt al helemáál niet.

Bovendien, ik heb een Bose QC25 (met draad, ja..). Alleen had ik een Android toestel toen ik 'm kocht, en heb ik nu een iPhone waardoor het afstandsbedieninkje niet werkt (schijnt niet compatible te zijn). Met bluetooth geen last van...

(Overigens in b4 'jamaar dan had je maar een Android moeten kopen!!1!one : nee, ik had juist al véél eerder een Apple moeten hebben, maar los daarvan had ik andersom natuurlijk dat probleem óók gehad).
Geen snoer, breekt toch. Alleen het snoer niet ;) Althans als je, zoals ik, bijvoorbeeld vergeet om ze uit je broekzak te halen bij het wassen. Meerdere wascycli met hoofdtelefoons gedraaid, no worries. Zou ik niet met airpods of andere draadloze opties willen proberen. Los van dat meer electronica meer gevoelig is voor storing.

Bediening die niet compatible is... that sucks.
Bij de QC25 kan je gewoon een ander kabeltje kopen met afstandsbediening voor de iPhone. Want die kabel is loskoppelbaar.
Ja dat weet ik. Kost iets van ¤25,- ... die koptelefoon was al duur zat.
Je hebt ook namaak op Amazon, voor een tientje ongeveer.
Als er een knik in de kabel zit is je garantie weg dat heb je met draadloos niet dat is voor mij belangrijker dan elke week opladen.
Kijk, dit is nou een voordeel. Mee eens.

Ik ben te lui en te vergeetachtig om iedere week aan zoiets te denken, maar ik snap waarom het beter voor jou is. Voor de aanschafprijs van de originele airpods kan ik wel een flinke voorraad reguliere hoofdtelefoons aanleggen, maar neemt niet weg dat je inderdaad geen garantie hebt op draadbreuk.
Ik gebruik thuis die ronde zwarte kabels met afsluitweerstanden inderdaad niet meer. Maar wel UTP kabels voor m'n computers, ook de laptop als ie thuis staat. Wifi werkt beduidend minder goed.
Maar geen CAT-4 meer neem ik aan, maar CAT-5e of misschien zelfs CAT6.

Ik bedoel, standaarden veranderen nou eenmaal - binnenkort is UTP ook obsolete, net als coax/safetyline en tokenring en parac-kabels.
CAT4 ligt hier nog voor vaste lijn telefonie, en ik heb 2 van de 4 aders in z'n kabel misbruikt om ADSL signalen te transporteren (door in zo'n telefoon doorplug stekker de draadjes om te wisselen). CAT5 gebruik ik voor modem naar computers, en dat is zoveel sneller dan ADSL dat ik geen nut zie om dat te upgraden. Hoe dat over 10 jaar zit wacht ik wel af, maar voor mij is de groei al tijden uit internet snelheden. Meer heb ik momenteel ook niet echt nodig, hooguit zou meer upload handig zijn maar die wordt niet door de utp kabel beperkt.
De 3,5mm discussie wordt er eentje zoals, vroegah was alles beter.
Hmm floppies :9
Hmm multiplayer via serial :)
parac kabels ftw! Sneller dan serieel.
Ja zolang er geen goed alternatief is.. Ik gebruik deze poort op dit moment zelfs.
Koptelefoons met W1-chip zijn een alternatief (of bluetooth). Of gebruik de Earpods die je bij je iPhone krijgt, ook een alternatief. Of gebruik de adapter (ok, minder een alternatief).

[Reactie gewijzigd door iAmRenzo op 5 juni 2018 10:18]

Maar dat zijn slechts gedeeltelijke alternatieven. Ik heb Bluetooth oordopjes voor op de fiets. Maar ik reis meer dan 7 uur per dag in de trein en er zijn geen oordopjes die dat volhouden op 1 lading...
Airpods gaan een paar uur mee (4 ofzo). Doe je ze 20 minuten in het doosje, dan zijn ze weer vol. Ik geloof niet dat je 7 uur aan een stuk in de trein zit per dag.
Is overigens wel flinke commute! :o
Klopt dat werkt wel, maar dan moet je 1.een iPhone hebben om ze Goed te gebruiken. 2. Elke 2 dagen dat doosje opladen. 3. Ik kan op mijn werk geen muziek luisteren dan... 🤣
Maar klopt ik reis behoorlijk veel en I snap dat ik geen standaard reiziger ben. Ik reis overigens vanaf Assen naar Hilversum media park en weer terug... 5 dagen in de week.
1. Ja. Kijk andere fabrikanten kunnen Apple wel kopiëren maar als zij geen alternatief bieden... tja.
2. So? Dat kan straks draadloos. Je andere apparaten moet je ook opladen.
3. Want?

Wow. Misschien niet eens verhuizen? Wel flinke commute man!
1. En 2. Als zij geen alternatief bieden dan is het weghalen dus geen optie. Dat iets straks draadloos kan heb ik nu niks aan. 3. Die oordopjes zijn al leeg als ik aankom.. Dan moet ik al twee of 3 paar hebben en allemaal elke dag opladen.
Dan ben ik elke dag 2 smartphones (Zakelijk en privé) 3 oordopjes, een smartwatch, een laptop en in de toekomst een auto aan het opladen.... 🤣

Ik wil verhuizen maar de prijzen zijn tegenwoordig echt belachelijk, daarbij heb je weinig groen in de randstad. :) de hele dag met computers werken, dan wil ik in het weekend wel even een paar dagen in de natuur lopen.

[Reactie gewijzigd door johanneslol op 6 juni 2018 09:25]

Precies. Maar ik ben van mening dat Apple een goed alternatief biedt voor het weghalen van de jack: earpods met lightning aansluiting én airpods.
Als je 7 uur nonstop muziek wilt luisteren zonder pauze dan moet je misschien inderdaad iets kopen waar nog wel een jack aan zit. Of accepteren dat je even moet laden tussendoor.
En je kunt overal beren op de weg benoemen. Maar ik kan dan gelukkig wel zeggen: het is jouw probleem en niet het mijne.
Sinds een paar jaar gebruik ik een draadloze koptelefoon, op het moment een Plantronics Backbeat Sense. Ik gebruik 'm normaal gesproken zo'n 6 uur per dag, soms langer: 2x een uurtje in de trein en 4+ uur op het werk. Gaat prima! Wel elke avond opladen...
Klopt dat werkt wel, maar ik zit alleen al 7 uur te reizen en ik wil op wel muziek luisteren als ik er ben.
Ja en nee. Bt is niet heilig en vaak genoeg onderbreking in de auto, of vermindering in geluidskwaliteit bijv. Ik mis de headphones aansluiting niet maar uitsluitend maar 1 connector voor laden en / of headphones is soms wel ruk.
En data overzetten dan ? Alles via de Cloud? nee bedankt.
Ik heb daarvoor een synology thuis staan, als ik thuis ben even foto en filmpjes overzetten met de synology app(kan dan dacht ook automatisch dat wil ik niet)

Dus geen cloud maar wel via de wifi mijn gegevens overzetten na de Nas.

[Reactie gewijzigd door Carlos0_0 op 5 juni 2018 08:40]

Ik hoop dat je snapt dat het voor de gemiddelde tenchofoob met een iPhone het niet haalbaar is om te vragen of ze de data overzetten via SMB of een eigen gehoste server, als ze niks in een cloud van een derde partij willen hebben.

Daarentegen weet iedereen hoe een USB kabel werkt.
Een echte technofoob zal het niks boeien of je een cloud gebruikt of niet; of zich (m/v) verdiept hebben in de voor- en nadelen van iCloud of clouddiensten in het algemeen. Die willen dat het toestel gewoon werkt en zullen standaard alles wel gewoon aanzetten.

Een iets-minder-technofoob zou zich (m/v) er nog over in kunnen lezen en een afweging maken.
Opladen zal wel gaan neem ik aan. Anders zou je een iPhone zonder stroom nooit meer kunnen gebruiken.
Misschien kun je nog wel opladen, maar wordt verdere initialisatie van de verbinding over de lightning poort (herkenning type aangesloten apparaat, en alles daarna) geblokkeerd.

Ben wel blij met deze move. Geeft aan dat Apple bovenop de beveiliging zit.
Opladen gaat wel ja je moet toch je iPhone kunnen gebruiken, als jij 3 weken op vkantie ben is je werk mobiel thuis wel leeg.

Je kunt gewoon iPhone aanzetten, alleen accessoires werken niet.
Er is dus geen data overdracht mogelijk tot je iPhone ontgrendeld is.
Ik vind dit een goede zaak van Apple echter blijven bedrijven als Cellebrite en Grayshift ook doorontwikkelen en zoeken naar andere methodes om een toestel binnen te breken. Ik weet zeker dat er nog zat mogelijkheden zijn na de laatste ios update.
Dit gebeurt toch in Android al jaren? Als ik mijn toestel op m'n PC aansluit zie ik er pas bestanden op staan in Verkenner als ik hem ontgrendel.

En daarnaast kan je je hele Android toestel ook nog eenvoudig via de reguliere Instellingen encrypten en een speciale code ter ontgrendeling direct voor het opstarten vereisen.

Is dit hetzelfde?
Dit is om tools zoals Celebrite te blokkeren. Tools zoals Celebrite zijn ontwikkeld om de beveiliging van Android te kraken.

De iPhone heeft ook al jaren een beveiliging waar je eerst toestemming moet geven aan de iPhone om deze te kunnen connecteren met een onbekende computer. Maar dat soort beveiligingen is dus te omzeilen. De iPhone beveiliging is één van de sterkste die er bestaat voor consumenten apparaten dus het is echt al een hele opgave om die te kraken. Toch moet Apple telkens weer dat stapje verder gaan zoals nu dit. Hopelijk houdt dit het tot quantum computers op de markt komen.
Want quantum computers kunnen de telefoon op magische wijze wel laten verbinden? Het enige op beveiligingsgebied wat daarvan te vrezen vant is dat ze een aantal public key algorithmen kunnen kraken in een nuttig tijdsbestek. Daartegen kun je je beschermen door over te stappen op andere public key algorithmen die niet kwetsbaar zijn voor quantum computers. Symmetrische algorithmen als AES zijn sowieso maar beperkt gevoelig voor een QC, Shor's algorithme kan het ontcijferen daarvan maar met een factor sqrt(2) verkorten (oftewel, er gaat een bitje van de effectieve sterkte af. AES-256 is dus nog steeds onmogelijk te briute-forcen met een QC).
Hoe zit het eigenlijk met Android? Heeft Android dezelfde bescherming?
Volgens mij is deze beveiligingsfeature niet op Android aanwezig. USB apparaten worden daar altijd gekoppeld.
Ik weet wel dat als je je Android telefoon via USB aansluit op je PC dat je het filesysteem van de mobiele telefoon niet te zien krijgt op je PC voordat je de telefoon ontgrendeld.

Maar dat wil niet zeggen dat je geen toegang hebt tot andere USB features die wellicht gebruikt kunnen worden om in te breken.
Precies. Die lock zit op een vrij hoog niveau. Er wordt verbinding gelegd met USB en daarna met SMB en dan presenteert de telefoon zijn directories en files (of niet als hij niet intgrendeld is).

Op lagere niveaus kun je nog steeds inbreken. USB (legacy) keyboard / muis, etc
Ik gebruik mijn toestel normaal in usb stick mode als ik het erin steek, en dat werkt ook pas na ontgrendeling. En zolang usb debugging niet aanstaat in de developer opties (staat standaard uit) kom je er via adb ook niet in.
Dit is zeker toe te juichen. Vele politiediensten nemen de diensten van Celebrite om allerlei telefoons te hacken. Ik vraag me wel af of er veel return on investment is. Het lijkt natuurlijk makkelijk om een single point of access te hacken en te bekijken maar zijn het niet vooral tech unsavvy mensen die worden gesnapt? Je kan als je echt paranoide bent beter encrypted chats meteen weggooien en dan zien ze niks.

En met het napluizen van Facebook, Google en Apple accounts kan je ook al veel te weten komen van de zgn metadata: locatiegegevens, gedownloade apps, vrienden en contacten. Buiten gesprekken en chats zou ik niet weten wat er is dat puur en alleen op de iPhone zelf staat.

Qua gebruiksgemak en juridische rompslomp zal een phone hacken wel makkelijker zijn. Apple, Amazon en Google proberen de requests zo lang mogelijk uit te rekken, maar uiteindelijk moeten ze wel een datadump doen (ook al is er een deel encrypted data).

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True