'Politie VS installeert iPhone-spyware om toegangscode van verdachten te leren'

De Amerikaanse politie zou spyware op iPhones van verdachten installeren, om zo de toegangscode te ontfutselen. Daarna zouden agenten de telefoon van de verdachte kunnen ontgrendelen en toegang hebben tot de data. Critici noemen de spyware onwettelijk.

De Amerikaanse politie werkt volgens NBC News met de Hide UI-software, die werkt als een soort keylogger. De politie zou de telefoon van de verdachte aansluiten op het GrayKey-apparaat van ontwikkelaar Grayshift, die de software installeert. Daarna zou de politie de telefoon weer overhandigen aan de verdachte en hem verleiden deze te gebruiken. Ze zouden de verdachten bijvoorbeeld vertellen dat hij zijn advocaat mag bellen, of dat hij telefoonnummers van zijn iPhone mag verwijderen. Hierdoor voert de verdachte zijn toegangscode in, die door Hide UI wordt opgepikt.

Volgens twee ingewijden zou de software ook de vliegtuigmodus uitschakelen en het wissen van alle data onmogelijk maken. Wanneer de politie de telefoon weer aan de GrayKey koppelt, krijgen agenten de ingevoerde toegangscodes in onbeveiligde vorm te zien. Autoriteiten zouden de software alleen gebruiken als bruteforcepogingen niet werken. Voor die bruteforcepogingen gebruiken ze ook het GrayKey-apparaat, zoals de FBI eerder dit jaar voor een iPhone 11 Pro Max gebruikte. Bij codes die acht tekens of langer zijn zou het weken tot een jaar kunnen duren om deze te bruteforcen. In deze omstandigheden zou Hide UI een snellere manier zijn om toegang te krijgen tot de data op de telefoon.

De politiediensten zouden de software alleen gebruiken als ze een gerechtelijk bevel hebben om de telefoon te mogen onderzoeken. Toch is het gebruik van de software omstreden. Zo schrijft een advocaat dat het niet duidelijk omschrijven van hun handelingen om informatie te ontfutselen, in strijd is met de grondwet. Daarnaast betwijfelt hij dat diensten geen misbruik maken van de software.

Volgens de adjunct-directeur surveillance en cyberbeveiliging aan de Stanford Law School's Center for Internet and Society moet er in het gerechtelijk bevel ook precies staan waar de politiediensten allemaal gebruik van mogen maken. De rechters die deze bevelen afgeven, zouden volgens de adjunct-directeur waarschijnlijk niet verwachten dat de politiediensten deze voor malware zouden gebruiken. Daarmee is het gebruik van Hide UI mogelijk niet toegestaan via een gerechtelijk bevel.

Burgerrechtenbewegingen zouden daarnaast vrezen dat het gebruik van deze software er juist toe leidt dat officiers van justitie zaken niet voor laten komen bij de rechter. Dan zouden ze het gebruik van de software namelijk toe moeten geven, terwijl ze nu juist non-disclosure agreements gebruiken om Hide UI geheim te houden. Hoe de software precies werkt en hoeveel diensten er gebruik van maken, is niet duidelijk. Noch Apple, de Amerikaanse overheid of Grayshift wilde het bestaan van Hide UI bevestigen.

Reacties (187)

olafske 19 mei 2020 11:33

Is de GreyKey hack niet al onmogelijk gemaakt in 2018 door het een en ander dicht te zetten?
https://www.onemorething....y-hack-iphone-onmogelijk/

svane @olafske • 19 mei 2020 11:53

Volgens een ander Tweakers artikel kan 't weer:

Apple had de werking van GrayKey en soortgelijke tools naar eigen zeggen onmogelijk gemaakt, maar kennelijk is het leveranciers gelukt om de tools weer te laten functioneren.

Lieftalig @olafske • 19 mei 2020 12:46

Vast wel, maar dit zal niet iedere crimineel beheersen.

Blokker_1999

Politiek en recht
Verenigde staten
Beveiliging en antivirus
Privacy
Apple

@olafske • 19 mei 2020 13:14

Dat is natuurlijk een eeuwig durende strijd. Men gaat op zoek naar gaten in de beveiliging om deze te misbruiken, maar Apple gaat ook op zoek naar diezelfde gaten en zal ze dan vroeg of laat ook oplossen. Dan moet je op zoek naar de volgende exploit.

Oon

@olafske • 19 mei 2020 14:42

Lijkt me niet relevant. Met fysieke toegang is het vrijwel altijd mogelijk om een apparaat binnen te dringen, tenzij deze volledig versleuteld is en weigert op te starten, maar ook dan hoeft er maar één chip te zijn die vatbaar is voor een paar bytes aan uitvoerbaar geheugen.

monojack @olafske • 19 mei 2020 16:37

Tja als ik het zo lees is de beveiliging toch opgetrokken want bij mijn weten had GreyKey geen medewerking nodig van de eigenaar van het toestel wat dus nu wel het geval is. Als de gebruiker de code niet invoert kan men blijkbaar niet in het toestel.

Stromboli 19 mei 2020 11:25

Hoe installeer je spyware op een iphone als je de toegangscode niet hebt?

De politie zou de telefoon van de verdachte aansluiten op het GrayKey-apparaat van ontwikkelaar Grayshift, die de software installeert. Daarna zou de politie de telefoon weer overhandigen aan de verdachte en hem verleiden deze te gebruiken.

Dus je moet als crimineel of verdachte je telefoon inleveren, je krijgt hem terug met één of ander vaag apparaat er aan, en je zegt dan: okee, ik ga mijn telefoon wel gebruiken en mijn advocaat bellen.

Zo zal het niet werken neem ik aan?

[Reactie gewijzigd door Stromboli op 27 juli 2024 15:11]

Eonfge @Stromboli • 19 mei 2020 11:27

Zero-days. Er is een rede waarom een zero-day bug een paar ton miljoen oplevert op de grijze markt.

Edit.
https://zerodium.com/program.html
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.

Edit 2.
Goed om bijvoorbeeld de documentatie van Vera Crypt door te lezen. Die leggen duidelijk uit dat elke vorm van full-disk encryption nutteloos is op het moment dat de device in handen is geweest van een aanvaller: https://www.veracrypt.fr/...%20and%20Precautions.html

Je zou namelijk een hardware keylogger of een bios rootkit kunnen gebruiken om de master-key te ontfutselen. Dit laatste is waarschijnlijk wat er gebeurd met de GreyKey.

Daarnaast, weet waar jij je telefoon unlockt. Een minder technische aanval is bijvoorbeeld het gebruik van CCTV camera's, of camera's in de wachtruimten van politie bureaus, om pincodes te achterhalen.

Edit 3.
Zit nu trouwens te denken... Zou het erg ingewikkeld zijn om een soort van flinterdun velletje over de iphone te plakken, die de toetsaanslagen opneemt om deze naar een basisstation van de aanvaller te versturen? Dit zou, mits goed ontworpen, niet te onderscheiden zijn van een screen protector. Bluetooth LE, klein transparant chipje... Dus, wie is me voor bij het octrooi kantoor?

[Reactie gewijzigd door Eonfge op 27 juli 2024 15:11]

Simyager @Eonfge • 19 mei 2020 11:57

Zero-days. Er is een rede waarom een zero-day bug een paar ton miljoen oplevert op de grijze markt.

Edit.
https://zerodium.com/program.html
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.

Toevallig laatst nog een nieuwsbericht gelezen over zerodium die dus geen 2 miljoen dollar meer gaat betalen, omdat er teveel bugs zijn op dit moment. Als je de tweet van zerodium leest staat er dat ze zelfs gaan stoppen tijdelijk met het uitbetalen voor bugs. De CEO van Zerodium tweet letterlijk dat iOS op dit moment fucked is en dat hij hoopt dat iOS14 veel beter zal worden.

jj71 @Eonfge • 19 mei 2020 13:41

Een zero-click full system compromise van iOS is 2 miljoen dollar waard.

Als dat GrayKey-apparaat op zo'n waardevolle zero-day bug is gebaseerd, zou dan niet vroeg of laat een medewerker van de fabrikant, of iemand anders die toegang heeft tot zo'n apparaat zoals een politiemedewerker, het apparaat naar Apple brengen (of Apple inlichten over de bug) en een grote beloning claimen?

[Reactie gewijzigd door jj71 op 27 juli 2024 15:11]

The Zep Man

Politie
Beveiliging en antivirus
Privacy
Politiek en recht
Verenigde staten

@jj71 • 19 mei 2020 13:47

Niet als de gebruiks/licentievoorwaarden van dat apparaat stellen dat je dat niet mag doen, op straf van een fikse schadevergoeding en opoffering van je eerst(volgende)geborene.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 15:11]

AmigaWolf @The Zep Man • 19 mei 2020 17:55

Tweakers: 'Politie VS installeert iPhone-spyware om toegangscode van verdachten te leren'

Wat een walgelijke praktijken weer van de politie in Amerika, en dan staan ze verstelt dat steeds meer mensen de politie niet meer geloven en een hekel aan ze krijgen.

Guru Evi @AmigaWolf • 19 mei 2020 20:32

In Europa mogen ze je dan opsluiten totdat je hun de codes verstrekt. Een kat-en-muis spel met een crimineel vind ik dan wel eerlijker dan een geweer tegen je kop.

AmigaWolf @Guru Evi • 19 mei 2020 20:49

Ja en is niks goeds aan, ze mogen dus iemand zo maar opsluiten omdat je niet je code geeft van je Smartphone of andere apparaat, dat is walgelijk, dus jij ben er mee eens dat je vrijheid afgenomen woord als je niet wil mee werken aan je eigen veroordeling?! Dat is wat dit is dat je je wachtwoord moet geven anders ga je de gevangenis in.

AmigaWolf @Bomberman71 • 19 mei 2020 21:03

Nee een fijn moraalkompas heb jij ..... Wees er maar trots op.

Chaos @Bomberman71 • 21 mei 2020 13:08

Die pedofiel zou net zo hard veroordeeld moeten worden als de pedofiel die zijn acties helemaal niet filmt.

Bomberman71 @AmigaWolf • 19 mei 2020 20:17

Hoezo ?
Bij een gerede twijfel en met goedkeuring van een rechter is het hier in NL ook zo geregeld dat je telefoon verkeer wordt afgetapt of dat er bij je thuis afluister apparatuur wordt geplaatst. Niks nieuws, gebeurde al voordat jij geboren was en dit is de moderne versie van het 'afluisteren'..

Een viespeuk met duizenden foto's en video's aan bijv. kinderporno zou je dus moeten laten gaan aangezien hij zelf zijn telefoon niet gaat ontgrendelen ????
Nu wordt het toestel in weze gehacked en kunnen ze de inhoud bekijken.

AmigaWolf @Bomberman71 • 19 mei 2020 20:52

Boelshit, via een rechter is wat anders, al ben ik daar ook niet mee eens, maar dit is 10x erger, ze doen dit gewoon bij iedereen die ze verdenken, of zelfs niet verdenken, lekker hun smartphone hacken/spyware er op zetten, ik dacht altijd dat je onschuldig was tot het tegendeel bewezen is, of dat je NIET hoeft mee te werken met je eigen veroordeling.

Bomberman71 @AmigaWolf • 19 mei 2020 20:57

Weet niet in welke wereld jij leeft maar eh 'onschuldig tot bewezen is ?'
Vertel dat eens aan de belastingdienst om maar eens een mooi voorbeeld te noemen.
Of iemand die met een geclonede kentekenplaat van jou boetes rijd, eens kijken hoe jouw stelregel zich dan ontvouwd.

Door af te tappen werk je niet mee aan een eigen veroordeling.
Overigens doen ze dit echt niet bij iedereen. Denk je echt dat iedere Sheriff een Graymachine heeft staan ??

Overigens staat er duidelijk bij:

De politiediensten zouden de software alleen gebruiken als ze een gerechtelijk bevel hebben om de telefoon te mogen onderzoeken.

kortom, dat gebeurt niet bij iedere kruimeldief en ook daar is een heel proces voor nodig.

skunkopaat @Bomberman71 • 19 mei 2020 21:37

Een ieder tegen wie een vervolging is ingesteld, wordt voor onschuldig gehouden totdat zijn schuld in rechte is komen vast te staan, beter bekend als; onschuldig tot het tegendeel bewezen is. Onschuldpresumptie heet dat, en staat in de grondwet.

Meer info

Bomberman71 @skunkopaat • 19 mei 2020 21:44

Ja, de grondwet ... Klopt.

Nu de praktijk, en zoals ik al zei, zeg dat eens tegen de belastingsdienst.

https://blog.jaeger.nl/nl...trijd-onschuldpresumptie/

bytemaster460 @Bomberman71 • 20 mei 2020 12:46

Voor de belastingdient geldt de omgekeerde bewijslast. In het strafrecht niet.

Bomberman71 @bytemaster460 • 20 mei 2020 14:13

Staat nergens in de wet dat het zo voor de belasting is geregeld.
Snap het wel want het gaat om geld en dan klopt alles wel in NL.

bytemaster460 @Bomberman71 • 21 mei 2020 16:16

Die staat wel degelijk in de wet en is zeker niet altijd van toepassing. Als volgens de verstrekte gegevens de belastingdienst op een hogere aanslag uitkomt dan jij, moet jij bewijzen dat je gelijk hebt.
Het dient een doel. Als 10 miljoen Nederlanders gaan roepen dat hun aanslag 100 Euro te hoog is onder het mom: "bewijs het maar dat het niet zo is" gaat natuurlijk niet werken.
Als de belastingdienst zelf gegevens niet heeft en meent dat jouw aangifte niet klopt is er geen omgekeerde bewijslast. Dan moet de belastingdienst bewijzen.

tweaknico @Eonfge • 19 mei 2020 16:26

nee dat heet een digitizer en dat zit al voor je schermpje.
De controller is dan weer lastiger te verbergen, maar een telefoon hoesje kan het een en ander verbergen....

[Reactie gewijzigd door tweaknico op 27 juli 2024 15:11]

Anoniem: 1302638 @Eonfge • 19 mei 2020 18:14

Een idee kan je geen octrooi op aanvragen

Aiii @Stromboli • 19 mei 2020 12:43

Bij je arrestatie wordt je telefoon gewoon afgenomen. Vervolgens kunnen ze ermee doen wat ze willen, daarna krijg je hem terug in de verhoorkamer om te bellen, meteen daarna verdwijnt hij weer.

The Zep Man

Politie
Beveiliging en antivirus
Privacy
Politiek en recht
Verenigde staten

@Aiii • 19 mei 2020 13:58

Bij je arrestatie wordt je telefoon gewoon afgenomen. Vervolgens kunnen ze ermee doen wat ze willen, daarna krijg je hem terug in de verhoorkamer om te bellen, meteen daarna verdwijnt hij weer.

Een oplossing is twee PIN codes toestaan:

Reguliere code: unlockt zoals je nu verwacht.
Alternatieve code: hetzelfde als reguliere code, maar gooit op de achtergrond kritiek sleutelmateriaal en vooraf aangemerkte informatie weg, die niet meer zichtbaar is na de unlock.

Hetzelfde kan je doen met bijvoorbeeld vingerafdrukken.

Het simpele alternatief is je toestel niet meer gebruiken zodra het van je is afgenomen.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 15:11]

kajkorthout @The Zep Man • 19 mei 2020 14:34

Alternatieve code: hetzelfde als reguliere code, maar gooit op de achtergrond kritiek sleutelmateriaal en vooraf aangemerkte informatie weg, die niet meer zichtbaar is na de unlock.

Uit het artikel:

Volgens twee ingewijden zou de software ook de vliegtuigmodus uitschakelen en het wissen van alle data onmogelijk maken

Als dit klopt gaat die manier van alternatieve code niet werken. Misschien een code die eenmalig werkt of beperktere functies heeft (gast-account), zoals alleen kunnen bellen/sms'en.

The Zep Man

Politie
Beveiliging en antivirus
Privacy
Politiek en recht
Verenigde staten

@kajkorthout • 19 mei 2020 15:40

Als dit klopt gaat die manier van alternatieve code niet werken.

De 'spyware' heeft enkel toegang tot de software, niet het secure element. Het secure element kan alsnog kritiek sleutelmateriaal wissen bij het opgeven van een verkeerde PIN code.

Dit is natuurlijk in de aanname dat de PIN daadwerkelijk het secure element bereikt. Maar goed... Een foute PIN opgeven die daarna door de Politie 'voor het echt' wordt ingevuld die daarna alsnog het sleutelmateriaal wist werkt ook.

theduke1989 @Stromboli • 19 mei 2020 11:29

Ik zou de iPhone verkopen, en een nieuwe aanschaffen van het geld wat je hebt ontvangen.
Laat de politie maar de nieuwe eigenaar traceren. Of krijg je ook een formulier meegeleverd dat je niet mag verkopen etc.

En ik zou dan zo'n wegwerp telefoon aanschaffen of niet de data delen over de telefoon.

[Reactie gewijzigd door theduke1989 op 27 juli 2024 15:11]

watercoolertje

Apple iPhone
Apple

@theduke1989 • 19 mei 2020 11:43

Ik denk dat je de telefoon gewoon in de verhoorkamer krijgt en dus niet mee mag nemen, laat staan verkopen/een nieuwe kopen...

[Reactie gewijzigd door watercoolertje op 27 juli 2024 15:11]

bbob

Verenigde staten
Privacy
Politiek en recht
Politie

@watercoolertje • 19 mei 2020 11:52

Conclusie als je telefoon als verdacht in beslag genomen is raak je hem dus nooit meer aan. Tenzij je weet dat er niets belastends op staat.
Mocht je hem ooit terug krijgen dan zou je de info die belangrijk is er af kunnen halen en dan tel vernietigen.

litebyte @bbob • 19 mei 2020 12:26

Inderdaad. Je kan een zogenaamde burner phone gebruiken - die eenmalig of slechts aantal malen gebruikt wordt.

xbeam @bbob • 19 mei 2020 21:12

Als ze dan je telefoon terug geven tijdens een verhoor dat nummers mag wissen. Dan zeg tocht dankjewel. En wis je de hele telefoon.

Maar als je weet dat belastende dingen in je telefoon staan Stel je hem toch in dat na een x aantal keer foutieve code zichzelf wist.

The Reeferman @xbeam • 20 mei 2020 01:42

"Als ze dan je telefoon terug geven tijdens een verhoor dat nummers mag wissen. Dan zeg tocht dankjewel. En wis je de hele telefoon."
Dan trap je er mooi meten open ogen in. Als de politie tijdens verhoor je telefoon aan je overhandigd en er ook nog bij zegt dat nummers wissen mag dan lach je ze uit en vraag je of ze denken dat je achterlijk ben. Je mag nummers wissen hoor, ja nog ff. Zie je het al voor je, als je daar in trapt verdien je het ook gewoon.
Een andere truc zou kunnen zijn iemand vrij te laten, telefoon terug geven. En em dan observeren en wachten tot de verdachte zijn/haar telefoon gebruikt en dan weer arresteren. Met het risico dan iemand de telefoon gelijk aan stukken slaat zodra ie de kans krijgt. Al valt dat misschien op te lossen met een complete telefoon cloon die tot na het invoeren van je wachtwoord het zelfde lijkt als de jouwe. En het wachtwoord direct doorstuurt naar de politie. Al kunnen eigen achtergrond op het inlogscherm misschien roet in het eten gooien. Weet niet hoe dat bij iOS zit. En als je het artikel had gelezen had je geweten dat de spyware de functie om de telefoon te wissen heeft geblokkeerd.
Ik zou er trouwens ook niet raar van opkijken als blijkt dat men dergelijke software op afstand kan installeren. Zou wel een stuk handiger zijn om eerst de inlogcode van iemand te achterhalen en hem dan aanhouden en gelijk in de telefoon kunnen. Maar misschien dat dergelijke technieken alleen aan de NSA zijn voorbehouden in de VS.

monojack @watercoolertje • 19 mei 2020 16:40

Mja goed maar als je niet meewerkt en er is geen ander bewijs om je aan te houden zal men je op een gegeven moment moeten vrij laten. Ik ga er vanuit dat de politie dan alsnog zal proberen om in het toestel te geraken door het mee te geven en je even later terug op te pakken

The Reeferman @monojack • 20 mei 2020 01:46

Wel met het risico dat als er echt belastende data opstaat en de verdachte redelijk scherp is hij de telefoon ook gelijk kan vernietigen.

theduke1989 @watercoolertje • 19 mei 2020 11:53

Nja dan heel simpel, graaf een gat, gooi hem erin met het doosje. Maak de gat dicht.
En maak een wandeling naar je advocaat of iets. Genoeg manieren.

Ik zou dit nooit accepteren of ik nou verdacht ben of niet. En dan maar zeuren over hoe CHINA er mee aan toe gaat. dit is niet beter

duk3n @theduke1989 • 19 mei 2020 19:51

Jij bent kennelijk nooit in China geweest als je zo'n vergelijking maakt. Je zou nu naar de Covid-19 periode moeten weten hoe het is om een beperking van persoonlijke vrijheden te ervaren. En dat dan 24/7, 365 dagen per jaar.

Omdat je het misschien niet eens bent met het beleid van Trump/America, moet je het niet gaan vergelijken met China. That's an whole other ballpark, zouden de Amerikanen zeggen.

Vlizzjeffrey @Stromboli • 19 mei 2020 11:30

Volgens mij zit de telefoon alleen aan dat apparaat aangesloten om de software te installeren.

jeroen79 @Vlizzjeffrey • 19 mei 2020 16:58

Dat denk ik ook.
-Je wordt aangehouden en moet op het bureau je zakken leeg maken.
-Je telefoon gaat aan de graykey die er hideui op zet.
-Daarna mag je je telefoon even terug om je advocaat te bellen.
-Als je dat gedaan hebt moet je je telefoon weer inleveren.
-Dan gaat de telefoon weer aan de graykey om je wachtwoord er af te halen.

Gomez12 @jeroen79 • 19 mei 2020 18:13

-Daarna mag je je telefoon even terug om je advocaat te bellen.

Daar zou ik toch echt nattigheid gaan voelen, wat zijn dat voor rare praktijken...

De gemiddelde smartphone kan je van alles mee doen van het wipen van externe computers tot het wipen van je smartphone zelf etc etc etc om maar bewijs te vernietigen.
Maar je zou hem even terugkrijgen omdat hij zo lekker in de hand ligt bij het bellen oid? En een andere hoorn daar kan je maar niet aan wennen?

Vlizzjeffrey @jeroen79 • 19 mei 2020 17:22

Ja precies, dat is ook hoe ik het dacht.

xbeam @jeroen79 • 20 mei 2020 02:42

Als je weet dat shit op je telefoon staat zeg je toch dankjewel. Typed X keer de verkeerde code en geeft hem gelijk terug waarnaar je vraagt mag ik jullie telefoon even gebruiken om bellen en hebben jullie zijn nummer want ik moet zo nodig plassen dat ik me code nu even niet meer weet.

[Reactie gewijzigd door xbeam op 27 juli 2024 15:11]

Ulas @Stromboli • 19 mei 2020 11:28

Ik denk niet dat de telefoon er nog aan hangt als de verdachte het terugkrijgt...

walteij @Stromboli • 19 mei 2020 11:30

Met fysieke toegang is veel mogelijk.
Er hoeft maar een non-discoles security lek in de iPhone aansluiting te zitten waar de software misbruik van maakt.

psdata @Stromboli • 19 mei 2020 11:37

zie ook deze link: https://www.iculture.nl/nieuws/graykey-unlocker-fotos/

FvdM @Stromboli • 19 mei 2020 11:48

Ik denk met name als de iPhone achterloopt met iOS updates, want sinds 11.4.1 is USB Restricted Mode ingebouwd en standaard ingeschakeld. Zonder dat kan een USB apparaat het lockscreen omzeilen.

Nyarlathotep @Stromboli • 19 mei 2020 11:28

Je weet toch wel dat er meerdere manieren zijn om spyware op een apparaat te krijgen?

pepijntb @Stromboli • 19 mei 2020 15:55

Net zoals je op elk ander apparaat met een veelgebruikt besturingssysteem spyware installeert.

Heijmenberg99 19 mei 2020 11:28

En wat nou als je met touch-id of face-id je iPhone ontgrendeld? Dan kunnen ze geen toegangscode ontfutselen.

Madden @Heijmenberg99 • 19 mei 2020 11:38

Politie is (in NL, maar vast ook daar) gerechtigd om foto's van jou te maken en jouw vingerafdrukken te nemen, zelfs als je daar tegen bent. Je kunt je daarvoor niet beroepen op schending van privacy, onwettelijkheid, etc.
Als jij dus jouw telefoon met jouw vingerafdruk of gezicht unlocked, dan mag de politie dat ook proberen omdat het in wezen niet verschilt van jouw vingerafdruk nemen of een foto van je maken; beide mogen.
Ze kunnen je echter niet dwingen om je pincode af te geven. Daarom proberen ze op deze manier achter de pincode van de verdachte te komen. Ik neem aan dat ze het 'verkopen' dat de verdachte zelf zijn pincode heeft ingetikt en niet gedwongen werd deze af te geven. Wat in feite ook zo is.
Maar een smerige truuk is het wel....

Zyphlan @Madden • 19 mei 2020 12:24

Ik vraag me af of dit in NL stand zou houden.

Want het zeggen : bel je advocaat met je eigen mobiel en dan het niet mogelijk maken om een vaste lijn of telefoon van de politie te gebruiken lijkt me wel een makkelijke manier om te laten zien dat het nou niet echt redelijk is.

Maar dit is wel speculatie want ze kunnen in principe ook zeggen : Je kunt je advocaat bellen wij kunnen een telefoon voor gebruik leveren maar je mag ook je eigen telefoon gebruiken en dan is het enigzins je eigen schuld.

‘..een verdachte die door de politie is aangehouden, aan artikel 6 EVRM (een Europees verdrag) een aanspraak op rechtsbijstand kan ontlenen die inhoudt dat hem de gelegenheid wordt geboden om voorafgaand aan het verhoor door de politie aangaande zijn betrokkenheid bij een strafbaar feit een advocaat te raadplegen.

https://www.judex.nl/rech...te-recht-op-een-advocaat/

Hebben we hier een persoon met een rechten opleiding die het antwoord heeft? ( nu ben ik wel heel nieuwsgierig)

[Reactie gewijzigd door Zyphlan op 27 juli 2024 15:11]

Arnoud Engelfriet

Politie
Politiek en recht

@Zyphlan • 19 mei 2020 13:54

In Nederland heb je géén recht op een telefoontje. Je hebt recht op overleg met je advocaat, en die zal dus gebeld moeten worden maar dat kan ook doordat jij zegt hoe die heet en de politie de advocaat belt.

Ik denk dat het wel mag, mensen hun telefoon teruggeven zonder te zeggen dat je er spyware op gezet hebt. Maar ik zou dan zeggen dat mijn advocaat daar niet instaat en dat ik zijn nummer niet weet.

xbeam @Arnoud Engelfriet • 20 mei 2020 02:57

En de verkeerde code invoeren.
Doe je dat namelijk te vaak dan wist en overschrijft een iPhone zichzelf.

SirLenncelot @Zyphlan • 19 mei 2020 13:04

Of alleen het nummer laten opzoeken?

Zyphlan @SirLenncelot • 19 mei 2020 13:51

Ja maar in principe moeten ze het dan mogelijk maken om dat te doen via een telefoon / computer van de politie anders wordt het wel heel krom je hebt recht op een advocaat en het kan niet zo zijn dat je dat recht niet kan uitoefenen omdat ze malware op je mobiel gegooid hebben.

yanic @Zyphlan • 19 mei 2020 23:41

Misschien moet je gewoon het nummer van je advocaat instellen als emergency nummer?

Op Android kun je dat bellen van op je lock screen - denk ik toch, nog nooit geprobeerd.

Maxxi @Zyphlan • 19 mei 2020 23:08

Wel of niet advocaat bellen is niet relevant. Daar heb je recht op, punt. Relevant is of je de verdachte in zijn belangen schaad en of de misleiding proportioneel is. Let wel een belang is niet om de waarheid niet aan het licht te laten komen. Het belang is een eerlijk proces. En daar wordt niet aan getornd.

Als dit kan is wel een innovatief scenario en dat maakt het altijd lastig om te toetsen tegen strafvordering. Persoonlijk denk ik dat het juridisch wel kan.

DigitalExorcist @Madden • 19 mei 2020 11:43

FaceID vindt foto's om te lachen. Daar reageert ie niet op..

satya @DigitalExorcist • 19 mei 2020 12:00

Dat lukte hier in huis anders wel, vooral als de foto met een andere telefoon wordt getoond.

Seal64 @satya • 19 mei 2020 12:17

Was dat ook een iPhone? Die maken een 3D-scan, wat vanaf een schermpje/foto niet werkt. Ik weet dat mijn Nokia7+ ook een gezichtsherkenning heeft gehad (is er in A10 uit gehaald, lijkt het) maar omdat die geen dieptescan doet pakt die inderdaad wel gewoon een pasfoto. Zal gelijk de reden zijn dat het eruit gehaald is, vermoed ik.

voxl_ @satya • 19 mei 2020 16:17

iPhone heeft een IR projector die gigantisch veel dots projecteert:

https://www.youtube.com/watch?v=g4m6StzUcOw

DigitalExorcist @Seal64 • 19 mei 2020 12:39

Bij het configureren van gezichtsherkenning bij oudere Samsung devices raadde Samsung het zélf al af om die functie te gebruiken (maar ja, het blijft Samsung, dus was de optie er toen nog gewoon wel....)

xoniq @DigitalExorcist • 19 mei 2020 13:23

Omdat dit werkt met een foto, en niet zoals een Kinect met een IR raster om een 3D scan van je gezicht te maken, waarbij je ogen ook open moeten zijn.

Android werkt pas sinds kort met echte gezicht unlock.

DigitalExorcist @xoniq • 19 mei 2020 13:27

Ja ik snap hoe het werkt, en ik snap ook dat Samsung die functie er weer uitgesloopt heeft om die reden

greatkz @xoniq • 19 mei 2020 16:55

Sinds kort?

Jaar of 2 al....

https://m.gsmarena.com/xi...ck_dual_gps-amp-31392.php

https://nl.letsgodigital....ll-screen-smartphone/amp/

DigitalExorcist @greatkz • 20 mei 2020 13:49

Maar is dat native vanuit Android of een addon van de fabrikant?

Dark mode in Android is ook nog vrij nieuw terwijl bijv. Samsung dat al langer had..

Anoniem: 979365 @DigitalExorcist • 20 mei 2020 11:24

de s7 is nog de enige telefoon die nog nooit unlocked is met een foto of iets dergelijks. de s7 heeft wat dat betreft de beste beveiliging!

DigitalExorcist @satya • 19 mei 2020 12:38

Best knap, een 3D foto maken.

Apple's FaceID werkt door een 3D-scan van een gezicht te maken. Dat gaat 'm niet worden met een foto..

Snowfall @satya • 19 mei 2020 13:17

Dan ben je de eerste die APples FaceID fopt met een Foto. Ik zou NYT bellen want je hebt een primeur.

Bomberman71 @Snowfall • 19 mei 2020 20:27

Heel simpel ...
FaceID fop je niet even, maar als je hem in beslag legt dan doe je een aantal attempts met een willekeurig gezicht en na een aantal keren stopt hij met FaceID en kan je alleen met pincode unlocken.
Na dat proces bied je hem dus aan.
Overigens moet je met face ID ook regelmatig de code invoeren, zeker als de telefoon een tijdje niet gebruikt is.

Als jij wordt opgepakt, de cel in, verhoort en 2 dagen later weer verhoort wordt dan weet ik zeker dat het heel normaal is dat FaceID niks gaat doen en je de code moet invoeren.

0xygen500 @Madden • 19 mei 2020 14:46

Geldt dit niet pas bij een strafeis van minimaal 5 jaar dat je vingerafdrukken moet afgeven?

Anoniem: 979365 @0xygen500 • 20 mei 2020 11:24

nope!

Anoniem: 1350842 @Madden • 19 mei 2020 15:53

Alleen dat afgeven is vooral als je veroordeeld bent toch? Want dan is het meer dat het belang om jou te straffen groter is dan dat jij tegen het afgeven van je vingerafdrukken bent. Daarmee zou dit dus niet kunnen worden gebruikt om bewijs te vinden, maar pas achteraf (als de zaak al is geweest) in je telefoon te kijken.

monojack @Madden • 19 mei 2020 16:43

Foto gaat niet werken want Face-ID werkt met een 3D scan van je gezicht. Als je als je verdachte je ogen sluit gaat het hen ook niet lukken door het toestel op je gezicht te richten en hoe meer men probeert en mislukt hoe sneller Face-ID overschakelt naar pin code

Guru Evi @Madden • 19 mei 2020 20:38

Ze kunnen inderdaad foto's en vingerafdrukken maar om deze te gebruiken moeten ze echt wel een rechtelijk bevel hebben. Zomaar je papieren inzien in de VS is ongrondwettelijk.

Daarnaast is de iPhone niet bevattelijk voor de truc met de foto noch van een kopie van je vingerafdruk, Android systemen wel maar de Face ID niet.

Sissors @Heijmenberg99 • 19 mei 2020 11:30

Dan houden ze hem voor je gezicht en is hij ook ontgrendeld.

RVervuurt @Sissors • 19 mei 2020 11:36

Ogen dicht en opgelost.

watercoolertje

Apple iPhone
Apple

@RVervuurt • 19 mei 2020 11:44

Dat mogen ze dus wel bij je afdwingen net als je vingerafdruk...

ouweklimgeit @watercoolertje • 19 mei 2020 12:42

Niet waar. Je vingerafdruk mogen ze wel registreren in hun computer, maar niet gebruiken voor het ontgrendelen van een telefoon. Je hoeft namelijk niet mee te werken aan je eigen veroordeling

Arnoud Engelfriet

Politie
Politiek en recht

@ouweklimgeit • 19 mei 2020 13:56

Welles, dat afnemen voor ontgrendelen valt onder diezelfde bevoegdheid en dat is géén schending van het recht niet tegen jezelf te hoeven getuigen. Dat laatste betreft alleen wat jij weet, niet wat je bent of hebt. Een pincode is dus hoe dan ook slimmer in dit verband dan welke biometrie ook.

watercoolertje

Apple iPhone
Apple

@ouweklimgeit • 19 mei 2020 12:53

Wellus...

https://www.google.com/am...fdruk-te-ontgrendelen.amp

WhatsappHack

Apple
Politiek en recht
Privacy
Apple iPhone
Politie
Beveiliging en antivirus
Verenigde staten

@watercoolertje • 19 mei 2020 13:40

Gewoon naar je telefoon roepen “Hey siri, van wie is deze telefoon?”. Wordt FaceID meteen uitgeschakeld. Of dat ook met TouchID zo is weet ik niet.

field33P @WhatsappHack • 19 mei 2020 20:25

Dan moet Hey Siri wel werken, en in mijn ervaring werkt het (op diverse iDevices) alleen wanneer je er niet om vraagt.

KevinMech @WhatsappHack • 20 mei 2020 00:33

Je kunt ook biometrische vergrendeling uitschakelen op iPhones of IPads door de volgende knop(pen) voor enkele secondes (tegelijkertijd) in te drukken.

TouchID: power
FaceID: power + volume up / down

jeroen79 @watercoolertje • 19 mei 2020 17:03

In hoeverre kunnen of mogen ze afdwingen dat je je ogen open doet?

DigitalExorcist @RVervuurt • 19 mei 2020 11:42

TouchID is dan wel een dingetje, dan moeten ze 'm tegen je vinger aan dwingen. Da's makkelijker dan je dwingen je ogen open te doen denk ik.

Unsocial Pixel @DigitalExorcist • 19 mei 2020 11:50

Tuurlijk niet, bij elke pijn trigger schieten je ogen automatisch open. "gewoon een vriendelijk schouderklopje bij de verdachte, klaar)

Eonfge @Unsocial Pixel • 19 mei 2020 12:15

En dat zit op de grens van mishandeling en dwang. Politie moet heel goed uitkijken wanneer zo iets doen want als de verdachte een goede advocaat heeft, kan dit nog wel eens heel wat speurwerk onbruikbaar maken.

Unsocial Pixel @Eonfge • 19 mei 2020 12:37

Per ongeluk een punaise op de stoel laten liggen, "bedrijfsongevalletje", of gewoon de beste man zichzelf naar buiten laten wandelen, hij zal toch rven zn ogen open moeten doen om de deur te vinden... Genoeg manieren te bedenken. Desnoods verhit je de deurklink, hij is degene die hem vastpakt right

Ik geloof niet in goede advocaten in de usa, enkel dure advocaten. En de politie is daar ook al meermaals bewezen niet altijd de meest nette/vriendelijke

[Reactie gewijzigd door Unsocial Pixel op 23 juli 2024 23:23]

RVervuurt @Unsocial Pixel • 19 mei 2020 13:16

En al die tijd wil jij een iPhone voor z'n gezicht houden? Wel erg onrealistisch.

DigitalExorcist @Unsocial Pixel • 19 mei 2020 12:40

Met één oog dicht herkent ie bij mij ook niks, moet ze echt beiden open hebben en recht naar het scherm kijken. Opzij kijken oid. telt ook niet.

RVervuurt @Unsocial Pixel • 19 mei 2020 13:15

Niet naar je iPhone kijken en opgelost.

Finger @RVervuurt • 19 mei 2020 12:57

Niet helemaal, wij hebben dit op het werk getest en 9 van de 10 keer unlocked hij gewoon. Wij hadden wel het idee (of dit klopt met hoe het systeem werkt weet ik niet) dat het bij donkere collega's het slechtste werkt. Het grappige was wel dat het bij mijn oneplus niet lukte terwijl daar helemaal geen 3d in zit.

[Reactie gewijzigd door Finger op 27 juli 2024 15:11]

monojack @Finger • 19 mei 2020 16:49

Dan stond het gewoon uit want je kan een iPhone niet unlocken met gesloten ogen.

nielsven @Heijmenberg99 • 19 mei 2020 11:31

Er is altijd een code als backup als ik me niet vergis

Sjeefr @nielsven • 19 mei 2020 11:34

Dat is correct. Voor zowel Touch-ID als Face-ID is het verplicht een toegangscode in te stellen. Stel dat je verminkt raakt, dan kan je zonder vinger of aangezicht nog steeds je persoonlijke data bereiken.

Sando @Sjeefr • 19 mei 2020 11:44

Hoe werkt dat eigenlijk? De vingerafdruk-scanner, is dat een chip die je pincode weet?

Kan de FBI die chip en vingerafdruk "voeren" omdat ze alle vingerafdrukken van iedereen heeft?

Seal64 @Sando • 19 mei 2020 12:15

Hangt van de scanner af. Optische scanners zijn relatief makkelijk - dat hebben de Mythbusters aan den lijve ondervonden toen ze erachter kwamen dat zelfs een redelijke fotokopie van een vingerafdruk vrolijk herkend werd, maar andere scanners zijn wellicht moeilijker. Een capacitieve scanner zal bijvoorbeeld al niet werken met een droog papiertje, omdat dat niet-geleidend is. Daar zijn ook wel weer oplossingen voor, maar dat wordt alweer veel lastiger.

Wat de werking betreft, dat zal gewoon een koppeling zijn - de vingerafdrukscanner vergelijkt de aangeboden vinger met diegenen die eerder zijn ingesteld, en spuugt vervolgens een "ja" of "nee" uit. De telefoon zal dus óf die code, óf de scanner accepteren als ontgrendeling, ik denk niet dat de scanner die code "weet".

Sando @Seal64 • 19 mei 2020 15:35

de vingerafdrukscanner vergelijkt de aangeboden vinger met diegenen die eerder zijn ingesteld, en spuugt vervolgens een "ja" of "nee" uit.

Dat is precies wat ik graag in detail wil weten. Ik kan me niet voorstellen dat het zo zit. Dan kan je immers gewoon een 'hoog signaal' geven op het pootje van de scanner om te simuleren dat hij een "ja" geeft. Het enige dat de FBI dan nodig heeft is een draadje en een schroevendraaier.

field33P @Sando • 19 mei 2020 20:28

De vingerafdruk wordt doorgegeven aan de Secure Enclave, die volgens mij weer een sleutel doorstuurt naar de rest van de telefoon indien de vingerafdruk correct is.

Sando @field33P • 19 mei 2020 20:44

Interessant! +2

Durandal @Seal64 • 20 mei 2020 00:31

Capacitieve schermen werken juist wel met een droog papiertje, net zoals het cap. scherm van je mobiel, waarvan de toplaag van niet geleidend glas is.
Cap. schermen werken juist niet met een geleidend papiertje ertussen (alu folie) omdat dat het electrische veld onderbreekt.

DataGhost

@Sando • 19 mei 2020 12:06

Nee, zoals @Sjeefr zegt is de pincode noodzakelijk om in te stellen zodat je de boel nog kan ontgrendelen als je vinger of gezicht het "niet meer doen". In de software wordt je vingerafdruk gewoon als een soort extra toegangscode gezien.

En ook nee maar tegelijkertijd ja. Doorgaans mag je na iets van 5 mislukte vingerafdruk-pogingen 30 seconden wachten voordat je een nieuwe poging kan doen. Dan kan je dus maximaal 10 vingerafdrukken per minuut proberen. Aangenomen dat alle vingerafdrukken uniek zijn (maar dat zijn ze niet) duurt het ruim 30 jaar om alle vingers van alle Nederlanders te proberen. Dus het kan wel, maar praktisch gezien niet. Ditzelfde is hun probleem met toegangscodes bruteforcen.

unreal0 @DataGhost • 19 mei 2020 12:21

Is sowieso onmogelijk, na een aantal mislukte pogingen moet je je pincode invoeren

Sando @DataGhost • 19 mei 2020 15:51

Ik ben dus benieuwd hoe dit precies zit om beter in te kunnen schatten hoe veilig dit is. Ik ben huiverig voor vingerafdrukscanners, niet omdat ik ban ben dat de mythbusters mijn vingerafdruk 3d-printen, maar ik kan moeilijk vinden hoe dit technisch gezien precies zit.

Staat de hash op het interne geheugen? I.e. als je de vingerafdrukscanner en de pincode-invoer omzeilt, de telefoon open schroeft, en het interne geheugen uitleest, kan je dan naar gelieven ongelimiteerd brute-forcen? Of is er een speciale pincode-hardware met ingebouwde 30-seconden-wachten regel waar de hash in opgesloten zit?

De user credentials bevatten waarschijnlijk een key/hash in de Credential Encrypted Storage waarmee je uiteindelijk toegang hebt tot alle bestanden, en deze key/hash is ongetwijfeld een stuk complexer dan een pin code. De pipeline is dan:

Fingerprint -> Pin Code -> User Credentials -> File System.

Zijn die eerste twee hardwarematig op dedicated chipjes?

DataGhost

@Sando • 19 mei 2020 17:18

Hangt van de implementatie af. Ik stel me voor dat het bij de meeste devices volledig in de chip zit en dat die alleen maar OK naar het OS communiceert, maar het kan op een heleboel manieren. De gevoelige data (je vingerafdruk-hash/whatever) staat waar mogelijk in een beveiligd stuk geheugen wat niet zomaar toegankelijk is in software of hardware (aparte chip onder een laag epoxy bijvoorbeeld) maar nogmaals, dat hangt van de implementatie af. De pipeline, als je die zo wilt zien als jij doet, ziet er dan ietsjes anders uit:
Fingerprint -> User Credentials -> File System
Pin Code -> User Credentials -> File System
Dus de een werkt onafhankelijk van de ander. De reden dat er een pincode bij gevraagd wordt is omdat je vingerafdruk buiten jouw wil kan veranderen en je dan nog steeds bij je telefoon moet kunnen. Een vingerafdrukscanner zelf kan prima zonder pincode of wetenschap van een pincode werken.
Juist de pincode wordt altijd door het OS afgehandeld dus in dat opzicht zal die minder veilig zijn qua implementatie dan een vingerafdrukscanner met losse chip. Anders zou je een apart keypad moeten hebben specifiek voor de pincode. Voor de praktijk zou ik me er niet al teveel zorgen over maken en verwijs ik je door naar xkcd 538.

Sando @DataGhost • 19 mei 2020 20:43

Misschien divergeren Android en iPhone daar, want bij Android kan je na iedere reboot de fingerprint pas gebruiken als je eenmalig de pincode hebt opgegeven.

Ik was in de (ongefundeerde) veronderstelling dat de pincode zo in het geheugen van de fingerprint chip terecht kwam, en dat deze na een reboot weer leeg was (volatiel geheugen).

DataGhost

@Sando • 19 mei 2020 20:53

Dat zou kunnen, maar dat zal dan puur zijn om het geheugen van de vingerafdrukscanner te decrypten, niet om de pincode in plaintext te onthouden en naar het OS te sturen als je je vingerafdruk gebruikt. De pincode/patroon wordt bij het opstarten eigenlijk vooral gebruikt om ervoor te zorgen dat je hem niet vergeet, door regelmatig te eisen dat je hem invoert. Mijn telefoon vraagt ook bij lange uptime periodiek om het patroon en weigert op dat moment te ontgrendelen met mijn vingerafdruk. Ook voor het ontgrendelen van eventuele encryptie wordt de pincode/patroon gebruikt, waardoor die nodig is om überhaupt op te starten.

Het is verder uiteindelijk allemaal code, als je een OS / lockscreen zo schrijft dat die alleen een vingerafdruk nodig heeft om te ontgrendelen kan dat gewoon, helemaal zonder pincode. Voor face-unlock kan je ontgrendelen met het juiste gezicht, maar je kan ook best instellen dat 'ie bij ieder gezicht unlockt als je boos naar de telefoon kijkt. Wederom zonder pincode. De pincode is ook maar gewoon een software-construct waar je omheen kan werken. De meeste keuzes op dat gebied zijn gedaan vanwege usability en security, dus er is niks verplicht maar dat is door de fabrikant beter/veiliger geacht.

SirLenncelot @Sjeefr • 19 mei 2020 13:07

Verminkt raakt is wel weer een heftig voorbeeld. Met handschoenen aan en een shawl voor je gezicht werkt het ook al niet.

thefal @nielsven • 19 mei 2020 12:55

En als je lang op de power en volumeknoppen drukt, kan je forceren dat een pincode nodig is om de telefoon te unlocken, FaceID en TouchID werken dan tijdelijk niet meer.

SirLenncelot @thefal • 19 mei 2020 13:07

Gewoon rebooten forceert het gebruik van de pincode ook

xoniq @SirLenncelot • 19 mei 2020 13:26

Ook inderdaad. Plus een pincode mogen ze je niet afdwingen meende ik eerder bij die FBI nieuwsberichten te hebben gelezen.

xbeam @SirLenncelot • 20 mei 2020 03:01

Ja dat top als Jan namelijk 10 keer de verkeerde code ingeeft wist iPhone zichzelf 🤯

thefal @SirLenncelot • 20 mei 2020 08:36

Klopt, maar dat is toch weer een extra stap, omdat je voor rebooten ook de power en volumeknoppen moet indrukken en daarna een schuifje moet verplaatsen om hem uit te doen

XephireUK @thefal • 19 mei 2020 15:32

Of 5 keer de power knop

Bseetje @Heijmenberg99 • 19 mei 2020 11:33

Dat is een kwestie van de telefoon een keer opnieuw starten. Daarna wordt altijd de code eenmalig afgedwongen voordat FaceID of TouchID weer werkt.

thefal @Bseetje • 19 mei 2020 12:56

Dat hoeft niet eens. Zodra je in op het scherm komt waarmee je je telefoon kan afsluiten, is vervolgens een pincode nodig! Het afdwingen van de pincode is dus maar een seconde of 2 werk.

Bseetje @thefal • 19 mei 2020 12:58

Maar dat is natuurlijk een beetje doorzichtig als je hem zogenaamd aan de verdachte teruggeeft om een belletje te doen

xoniq @Bseetje • 19 mei 2020 13:29

Beet pakken, volume + power knop ingedrukt houden (dus eigenlijk in de telefoon knijpen) en je bent klaar. Kan zelfs zonder naar het scherm te kijken. Desnoods pak je het toestel vast, hou je die knoppen ingedrukt en praat je ondertussen tegen de beste ambtenaar om m af te leiden om vervolgens langzaam naar je telefoon te kijken:

“Oh shit, hij vraagt om de code, die weet ik niet meer, ik gebruik altijd m’n gezicht”

Hoe willen zij bewijzen dat je die code wel weet, en dat je niet het even een mental breakdown hebt van de stress van het hele gebeuren waardoor je het even niet meer helder kan krijgen.

[Reactie gewijzigd door xoniq op 27 juli 2024 15:11]

mddd @Heijmenberg99 • 19 mei 2020 11:32

Als de telefoon een tijd niet gebruikt is geweest, of uit is geweest, dan moet je juist je code invoeren om biometrische authenticatie te laten werken. Dit is juist vanuit het idee dat iemand dan niet zomaar je gezicht of vingerafdruk kan gebruiken om bij je data te komen. Een sterke code is in die zin altijd nog beter dan biometrische gegevens. Dat blijkt juist uit dit hele verhaal: hoeveel moeite men doet om uiteindelijk toch te proberen iemand zijn eigen code te laten intikken.

Pukson @Heijmenberg99 • 19 mei 2020 11:32

Vroeg of laat voer je toch een keer je code in. Als die net is opgestart of als die door omstandigheden je vinger/gezicht niet kan herkennen.

Hessel89 @Heijmenberg99 • 19 mei 2020 15:48

Waarschijnlijk zetten ze je telefoon eerst uit waardoor je je code wel in moet voeren wil je ontgrendelen.

xbeam @Hessel89 • 20 mei 2020 02:59

Gewoon 10 keer de verkeerde code invoeren. Dan wist en overschrijft een iPhone zichzelf en hebben ze niets meer.

Jester-NL @Heijmenberg99 • 19 mei 2020 11:34

Ik geloof dat na een reboot van je telefoon (maar ook als de batterij leeg is (geweest)) er sowieso een pincode nodig is voordat touch-id of face-id weer werken.

DigitalExorcist @Jester-NL • 19 mei 2020 11:43

Ja, na een reboot of na een paar dagen, welke dan ook als eerste komt.

RVervuurt @Heijmenberg99 • 19 mei 2020 11:36

Als je meerdere keren probeert in te loggen met face-ID of touch-ID en dit niet lukt, moet je je code invoeren. Ook na een restart moet dit, dus het is waarschijnlijk één van die twee dingen.

tweaknico @Heijmenberg99 • 19 mei 2020 16:32

Dan houden ze het toestel toch gewoon even voor je gezicht?...

Bomberman71 @Heijmenberg99 • 19 mei 2020 20:23

HEEEEEEEEEEL simpel !

Je pakt de telefoon en je doet face ID en die unlocked NIET op een vreemde.
Na een aantal foute attempts kan je alleen maar inloggen met password.
Daarna bied je hem aan.

thunder8 19 mei 2020 12:23

Dus als je telefoon in handen is geweest van rechercheurs, gewoonweg een aantal keren verkeerd je pincode invoeren en zorgen dat ie zichzelf wist. (op voorhand instellen in de instellingen) Dan valt er niets meer te vinden. Vanaf heden mag je er dus altijd vanuit gaan dat men aan het rotzooien is geweest met je telefoon.

DizzyWeb @thunder8 • 19 mei 2020 12:46

Als je het artikel leest, dan zie je dat die tool dat dus onmogelijk maakt. Je kan je telefoon niet meer wissen.

thunder8 @DizzyWeb • 19 mei 2020 13:01

Dan nog proberen. Na 10 pogingen zal de telefoon dan misschien niet de data wissen, maar dan is het ook niet meer mogelijk een nieuwe code te proberen. Veel succes een encrypted telefoon te unlocken, waarbij je dus geen pogingen meer hebt via de pincode. Dan is je enige hoop een zero-day exploit waarbij je alsnog bij de data kan.

martijn141 @thunder8 • 19 mei 2020 15:18

Of de icloud backup vragen aan Apple.

xbeam @martijn141 • 20 mei 2020 03:05

Om die te uncrypte heb een paswoord nodig. Pincodes van telefoons zijn meestal korter

martijn141 @xbeam • 20 mei 2020 08:04

Dit is wat ik daarover kan vinden als je zoekt op icloud backup encryption:
“Unlike the physical device, Apple holds encryption keys to this data. If ordered by courts, it can decrypt and provide copies of those backups to law enforcement.”

Jouw twee zinnen zijn waar, maar staan los van elkaar.
1. Om de icloud backup te encrypten is een password nodig: alleen Apple heeft die key. Dus dat is makkelijk.
2. Pincodes van telefoons zijn meestal korter: Dat geloof ik.

Mijn punt is:
Je data op je eigen telefoon en in je eigen backup is veilig; maar je data in de icloud-backup is dat niet. Als het bevoegd gezag die backup opvraagt, dan wordt dat gegeven.
Als gevraagd wordt de telefoon te unlocken dan wordt dat niet gedaan.

xbeam @martijn141 • 20 mei 2020 09:48

Waarom doen ze dan zie moeilijk dat ze hem willen unlocken. Vraag dan gelijk de back-up up. ;-)

Blokker_1999

Politiek en recht
Verenigde staten
Beveiliging en antivirus
Privacy
Apple

@DizzyWeb • 19 mei 2020 13:19

En dan weet je dat het tijd is om je telefoon weg te gooien en een nieuwe te kopen.

DizzyWeb @Blokker_1999 • 19 mei 2020 13:21

Terwijl je bij de politie op het bureau zit, en de rechercheur aandringt dat je je mobiel gebruikt om je advocaat te bellen?

Iets zegt me dat dat niet helemaal het idee is

Anoniem: 14842 19 mei 2020 11:37

Ik heb op zich niet per definitie problemen met het installeren van spyware, is wat mij betreft een betere oplossing dan het verbieden van encryptie en het verplicht moeten meewerken aan je eigen veroordeling. Hierbij raak je in ieder geval in theorie alleen de mensen waarvan al een sterke verdenking is. Even buiten beschouwing gelaten wat die spyware kan doen als het in andere handen valt. Een politie pistool kan ook in verkeerde handen vallen, dat staan we ook toe.

Maar zoals gebruikelijk gaan ze in de US wel weer een stap verder. Dit neigt naar uitlokking om mee te werken aan je eigen veroordeling. Vooral als er al wat hints worden gegeven wat je er mee kunt doen...

Blokker_1999

Politiek en recht
Verenigde staten
Beveiliging en antivirus
Privacy
Apple

@Anoniem: 14842 • 19 mei 2020 13:18

slippery slope. Ik heb hier wel problemen mee. Wie houdt er toezicht op de installatie van de malware? Waarom zou men niet beginnen van bij iedereen die malware systematisch te installeren? Wat gebeurd er met de verzamelde data als het onderzoek gesloten wordt?

Anoniem: 14842 @Blokker_1999 • 19 mei 2020 16:07

Ik vind het installeren van malware niet veel anders dan het plaatsen van afluister apparatuur bij iemand. Hier is op een per-case basis een menselijke interventie voor nodig en het moet getoetst worden door een rechter(commisaris). Wat er met de gegevens gebeurt nadat deze zijn verzameld: als er geen wettige grondslag meer is dienen deze te worden vernietigd, in elk geval in Europa.

En m.b.t. het systematisch installeren van deze malware: dat is precies iets waar ik volledig op tegen ben. Net als het inbouwen van backdoors en het verbieden van encryptie. Dat gaat tegen allerlei beginselen in die ik hoog in het vaandel heb. Vandaar ook mijn stelling dat menselijke interventie nodig moet zijn (zo'n dongle er aan) en het op per case basis moet worden bekeken.

tweaknico @Anoniem: 14842 • 19 mei 2020 16:35

En waarom straks niet gewoon verplcihten standaard meekijk spul op de telefoon te instaleren? scheelt weer een probleem met het aanschaffen van een vaag apparaat.

Anoniem: 14842 @tweaknico • 19 mei 2020 21:55

Tja, daarom ben je ook verplicht om bij de koop/huur van een woning de afluisterkit van de AIVD te installeren...

HoppyF 19 mei 2020 13:16

De vraag is of wat Grayshift doet als ontwikkel wel legaal is.
Het lijkt erop van niet.
Dit soort software kan dus ook door criminelen gebruikt worden ipv overheidsdiensten.
Verder is het nu duidelijk geworden dat criminelen nooit hun eigen telefoon moeten gaan gebruiken als deze tijdelijk “uit het zicht” is geweest.
Mochten ze dan toch moeten en mogen bellen is een simpele smartphone van een paar tientje voldoende.

dehardstyler @HoppyF • 19 mei 2020 14:23

De vraag is of wat Grayshift doet als ontwikkel wel legaal is.
Het lijkt erop van niet.
Dit soort software kan dus ook door criminelen gebruikt worden ipv overheidsdiensten.

Waarom is het niet legaal?

HoppyF @dehardstyler • 19 mei 2020 15:00

Het doel van deze software is om iets achter de rug van de gebruiker om te doen.
Waarom zou je als gebruiker van je EIGEN telefoon een keylogger willen installeren?
Beetje merkwaardig.
Ik vraag me dus serieus af waar deze ontwikkelaar mee bezig is.

dehardstyler @HoppyF • 19 mei 2020 15:06

Ik zie niet in hoe het achter elkaar zetten van heel veel enen en nullen illegaal kan zijn. Het verkopen / gebruiken is een ander verhaal. Vandaar dat ze het dus alleen aan overheden verkopen.

Maar er is verder niks illegaals aan het schrijven van een keylogger hoor.

HoppyF @dehardstyler • 19 mei 2020 15:12

Het feit dat ze het alleen aan overheden verkopen moet je toch wel aan het denken zetten toch?
Ik vind dit nogal merkwaardig.
Als ik software ontwikkelaar was zou ik hieraan niet mee willen werken.
Zou het mij niet interesseren zou ik wel als software ontwikkelaar bij de overheid gaan werken.
Vraag me ook af of rechter de genoemde werkwijze toelaatbaar vinden.
Er zitten grote risico’s aan ook al vertrouw je de overheid, dergelijke software kan ook in verkeerde handen vallen.

dehardstyler @HoppyF • 19 mei 2020 15:15

Ik zou hier zeker niet aan mee werken inderdaad. Ook zou ik hier mijn exploits niet verkopen, maar goed dat is makkelijk praten voor mij, want ik heb die kennis ook helemaal niet.

Stel dat je een Android of iOS RCE vind en daar 2,5 miljoen dollar voor kunt vangen, gooi je dan je principes over boord? Ik wel in ieder geval.

Rechters vinden dit prima toelaatbaar denk ik, want dit speelt al een jaar of 10 zeker. Er zijn best veel bedrijfjes die dit doen.

HoppyF @dehardstyler • 19 mei 2020 15:47

Voor geld is alles te koop.
Dat blijkt ook wel weer.
Ik vind dit schimmige bedrijfjes die zich hiermee bezig houden.
Toch werken er slimme gasten want je moet wel wat kennis in huis hebben om zo’n app te maken.
Jammer dat ze hun kennis niet inzetten voor nuttiger zaken maar dat is een algemeen probleem wat op allerlei gebieden speelt.

Mushroomician @HoppyF • 19 mei 2020 15:41

Iemand kan dit ook doen als je je toestel bent verloren, om het vervolgens terug te geven.

Simon Weel 19 mei 2020 11:49

Tsja, een beetje crimineel is net iets slimmer dan de politie. En dus doet mijn smartphone na 3 verkeerde pincodes een factory-reset en is alles weg. Of ben ik nu erg simpel?

Seal64 @Simon Weel • 19 mei 2020 12:20

Ja. Punt met dit ding is nou juist dat niet alleen de pin-code niet ge-brute-forced wordt (dus geen verkeerde pogingen), en dat gelijk dat mechanisme dat de factory-reset uitvoert, om zeep wordt geholpen (uit het artikel: "Volgens twee ingewijden zou de software ook Airplane uitschakelen en het wissen van alle data onmogelijk maken."). Dus zelfs als jij dan zelf bewust meerdere verkeerde PINs invoert om de data te saboteren, werkt dat niet meer.

Zal dus wel een soort rootkit zijn die erop gezet wordt, ik zou anders niet weten hoe je dit kunt afdwingen.

nikopol @Simon Weel • 19 mei 2020 12:49

Stiekem hoop ik niet dat criminelen zo slim zijn.
Vanuit security gezien is na 3 foute pw wel een goede beveiliging maar in praktijk kan dit soms vervelende gevolgen hebben. Iemand pakt de verkeerde telefoon, kinderen die grappig doen.
Maar als ik mezelf beter wil beschermen doe ik dat zeker en gebruik ik geen vingerafdruk. Al heb ik liever pas na 5 of 10 keer en nog beter is een pincode die dat in een keer regelt.

XephireUK @nikopol • 19 mei 2020 15:37

Apple heeft de optie om na 10 keer de foute pin alle data te wissen. Dit staat bij mij uit vanwege mijn kinderen... Het is wel zo dat na x foute PINs er een time out is, die iedere keer groter wordt. Eerst 30sec, dan 1min, 2min, 5min, 10min etc.

MazeWing

19 mei 2020 11:52

Dat mensen hier zo verontwaardigd over zijn. De telefoon is gewoon de "kluis" van tegenwoordig.

Had je vroeger je belangrijkste zaken in een kluis liggen, staan deze nu op een telefoon. Moest men vroeger de kluis kraken (of "brute forcen") moet men nu de telefoon kraken. Het verschil is echter dat het kraken van een kluis aanzienlijk makkelijk gaat dan een telefoon vergrendeld met encryptie, etc. Het is dus logisch dat men dit soort dingen doet om achter de sleutel te komen en het kraken eenvoudiger te maken.

Als je niet wil dat ze belangrijke zaken op je telefoon ontdekken, moet je ze maar ergens anders bewaren. Hetzelfde dat men vroeger meerdere kluizen had en/of kostbare bezittingen simpelweg "verstopten"

Welkom in de 21e eeuw!

Philip Ross @MazeWing • 19 mei 2020 12:02

Die analogie klopt niet helemaal.

De telefoon encryptie brute forcen is hetzelfde als een kluis open breken.

Dit is meer iemand toestemming geven om zelf zijn kluis weer te gebruiken en dan stieken meekijken wat de code is.

Die code is met reden geheim en hoef je volgens de wet niet af te geven. Dan is het via spyware verkrijgen van die code dus ook vreemd en ongewenst.

litebyte @Philip Ross • 19 mei 2020 12:35

Een mobiele telefoon is veel meer dan een kluis tegenwoordig. Het is een verzameling persoonlijke data waar de Stasi (die beruchte Oost-Duitse dienst uit de tijd dat kluizen zo populair waren) jaloers op zou zijn geworden - zeker in combinatie met 'spyware' van facebook, Google en al die andere 'gratis' diensten.

Geen telefoon of niet meer aanraken na arrestatie is dus het devies in de VS.

tweaknico @litebyte • 19 mei 2020 16:34

Dat is ook zo fout aan het "moderne" alles op een telefoon willen doen idee.
Dus telefoon als telefoon gebruiken a la, maar het is geen bank kantoor, etc. etc.

Seal64 @MazeWing • 19 mei 2020 12:25

Logisch, misschien. Wenselijk, nee. Legaal? Waarschijnlijk niet.

Ik kan me zo voorstellen dat het gebruik van dit soort apparaten illegaal is – computervredebreuk gaat weliswaar niet op vanwege het gerechtelijk bevel, maar dit apparaat vereist medewerking van de gebruiker, die daar niet van op de hoogte wordt gesteld, en dat is op zijn minst donkergrijs gebied, wettelijk gezien.

Punt is dan dat de politiemacht binnen de lijntjes van de wet moet opereren. Granted, die lijntjes liggen anders dan voor de gemiddelde burger, maar toch. Op het moment dat ze dan dus een illegale tool gebruiken om aan hun bewijsmateriaal te komen, is dat bewijsmateriaal dus óók illegaal en in de rechtszaal waardeloos.

Als dit ding nu alleen maar zou brute-forcen, dan zie ik geen probleem – het is het boobytrappen van de telefoon wat bedenkelijk is.

Bouddieehh 19 mei 2020 13:48

Nu heel veel mensen een iPhone X en nieuwer hebben met FaceID en/of sinds de iPhone 6(?) gebruik maken van TouchID is dit nog relevant??

Ik voer echt amper nog mijn pincode in op de telefoon, ik gebruik de Touch ID en klaar. Lijkt me niet dat (een hoop) criminelen (en normale mensen) nog met 5-6 jaar oude telefoons rondlopen?

Mushroomician @Bouddieehh • 19 mei 2020 15:44

Dan kun je net zo goed je pincode op je voorhoofd schrijven want het enige wat er nodig is bij biometrische identificatie is de biometrie van een al dan wel of niet bewusteloze persoon. Je vingerafdrukken en iris zitten toch echt aan de buitenkant van je lichaam.

slijkie 19 mei 2020 11:42

Hoog tijd dat Apple via een heel ander bedrijf die apparaten eens koopt bij ‘Grayshift’ om de boel eens te reverse-engineeren en de nek om te draaien.

nikopol @slijkie • 19 mei 2020 12:57

Dat zou wel eens lastig kunnen zijn, dergelijke apparaten zouden eigenlijk alleen aan overheidsinstanties verkocht mogen worden. Je zou als particulier wel aan een hoop eisen moeten voldoen om zoiets uberhaubt te kunnen kopen. Daarnaast zal er in de verkoop overeenkomt vast een non-disclosure richting apple staan.
Daarnaast is het dan nog steeds mogelijk dat Grayshift erg snel weer een nieuwe op de markt brengt en dat dit snel erg duur wordt voor apple.

jabwd @nikopol • 19 mei 2020 13:19

precies dit. Ik ga er ook beetje vanuit dat ze op een redelijk berg aan exploits zitten dat een update voor ze niet uitgesloten is. Zie ook hoe dat liep met usb restricted mode.

Het laat maar weer es zien hoe belangrijk een bug bounty programma is, en NIET aanvallen van een bedrijf wat zo actief white-hat hackers helpt.... maar om de een of andere reden doet apple dat toch

[Reactie gewijzigd door jabwd op 27 juli 2024 15:11]

slijkie @nikopol • 19 mei 2020 13:41

Dan neem je contact op met een overheid in een heel klein landje om het voor je te kopen. Opgelost.

tweaknico @nikopol • 19 mei 2020 16:46

Precies een instantie als AIVD, GRU, MI5, MI6, CIA, FBI, Moeghabarat, revolutionaire garde, 國家安全部 (Zhong Chan Er Bu, china) etc.

nikopol @tweaknico • 20 mei 2020 11:51

Een bedrijf als Grayshift baalt er vast al genoeg van dat ze niet aan iedereen mogen verkopen zonder dat er gevolgen zijn, zoals aan criminelen. Dan gaan ze niet te kritisch kijken naar de overheden waar ze zaken mee doen.

Op dit item kan niet meer gereageerd worden.

'Politie VS installeert iPhone-spyware om toegangscode van verdachten te leren'

Lees meer

Reacties (187)

Sorteer op:

Weergave: