Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Politie VS installeert iPhone-spyware om toegangscode van verdachten te leren'

De Amerikaanse politie zou spyware op iPhones van verdachten installeren, om zo de toegangscode te ontfutselen. Daarna zouden agenten de telefoon van de verdachte kunnen ontgrendelen en toegang hebben tot de data. Critici noemen de spyware onwettelijk.

De Amerikaanse politie werkt volgens NBC News met de Hide UI-software, die werkt als een soort keylogger. De politie zou de telefoon van de verdachte aansluiten op het GrayKey-apparaat van ontwikkelaar Grayshift, die de software installeert. Daarna zou de politie de telefoon weer overhandigen aan de verdachte en hem verleiden deze te gebruiken. Ze zouden de verdachten bijvoorbeeld vertellen dat hij zijn advocaat mag bellen, of dat hij telefoonnummers van zijn iPhone mag verwijderen. Hierdoor voert de verdachte zijn toegangscode in, die door Hide UI wordt opgepikt.

Volgens twee ingewijden zou de software ook de vliegtuigmodus uitschakelen en het wissen van alle data onmogelijk maken. Wanneer de politie de telefoon weer aan de GrayKey koppelt, krijgen agenten de ingevoerde toegangscodes in onbeveiligde vorm te zien. Autoriteiten zouden de software alleen gebruiken als bruteforcepogingen niet werken. Voor die bruteforcepogingen gebruiken ze ook het GrayKey-apparaat, zoals de FBI eerder dit jaar voor een iPhone 11 Pro Max gebruikte. Bij codes die acht tekens of langer zijn zou het weken tot een jaar kunnen duren om deze te bruteforcen. In deze omstandigheden zou Hide UI een snellere manier zijn om toegang te krijgen tot de data op de telefoon.

De politiediensten zouden de software alleen gebruiken als ze een gerechtelijk bevel hebben om de telefoon te mogen onderzoeken. Toch is het gebruik van de software omstreden. Zo schrijft een advocaat dat het niet duidelijk omschrijven van hun handelingen om informatie te ontfutselen, in strijd is met de grondwet. Daarnaast betwijfelt hij dat diensten geen misbruik maken van de software.

Volgens de adjunct-directeur surveillance en cyberbeveiliging aan de Stanford Law School's Center for Internet and Society moet er in het gerechtelijk bevel ook precies staan waar de politiediensten allemaal gebruik van mogen maken. De rechters die deze bevelen afgeven, zouden volgens de adjunct-directeur waarschijnlijk niet verwachten dat de politiediensten deze voor malware zouden gebruiken. Daarmee is het gebruik van Hide UI mogelijk niet toegestaan via een gerechtelijk bevel.

Burgerrechtenbewegingen zouden daarnaast vrezen dat het gebruik van deze software er juist toe leidt dat officiers van justitie zaken niet voor laten komen bij de rechter. Dan zouden ze het gebruik van de software namelijk toe moeten geven, terwijl ze nu juist non-disclosure agreements gebruiken om Hide UI geheim te houden. Hoe de software precies werkt en hoeveel diensten er gebruik van maken, is niet duidelijk. Noch Apple, de Amerikaanse overheid of Grayshift wilde het bestaan van Hide UI bevestigen.

GrayKey

Door Hayte Hugo

Nieuwsposter

19-05-2020 • 11:21

187 Linkedin

Submitter: x86dev

Reacties (187)

Wijzig sortering
Is de GreyKey hack niet al onmogelijk gemaakt in 2018 door het een en ander dicht te zetten?
https://www.onemorething....y-hack-iphone-onmogelijk/
Volgens een ander Tweakers artikel kan 't weer:
Apple had de werking van GrayKey en soortgelijke tools naar eigen zeggen onmogelijk gemaakt, maar kennelijk is het leveranciers gelukt om de tools weer te laten functioneren.
Vast wel, maar dit zal niet iedere crimineel beheersen.
Dat is natuurlijk een eeuwig durende strijd. Men gaat op zoek naar gaten in de beveiliging om deze te misbruiken, maar Apple gaat ook op zoek naar diezelfde gaten en zal ze dan vroeg of laat ook oplossen. Dan moet je op zoek naar de volgende exploit.
Lijkt me niet relevant. Met fysieke toegang is het vrijwel altijd mogelijk om een apparaat binnen te dringen, tenzij deze volledig versleuteld is en weigert op te starten, maar ook dan hoeft er maar één chip te zijn die vatbaar is voor een paar bytes aan uitvoerbaar geheugen.
Tja als ik het zo lees is de beveiliging toch opgetrokken want bij mijn weten had GreyKey geen medewerking nodig van de eigenaar van het toestel wat dus nu wel het geval is. Als de gebruiker de code niet invoert kan men blijkbaar niet in het toestel.
Hoe installeer je spyware op een iphone als je de toegangscode niet hebt?
De politie zou de telefoon van de verdachte aansluiten op het GrayKey-apparaat van ontwikkelaar Grayshift, die de software installeert. Daarna zou de politie de telefoon weer overhandigen aan de verdachte en hem verleiden deze te gebruiken.
Dus je moet als crimineel of verdachte je telefoon inleveren, je krijgt hem terug met één of ander vaag apparaat er aan, en je zegt dan: okee, ik ga mijn telefoon wel gebruiken en mijn advocaat bellen.

Zo zal het niet werken neem ik aan?

[Reactie gewijzigd door Stromboli op 19 mei 2020 11:26]

Zero-days. Er is een rede waarom een zero-day bug een paar ton miljoen oplevert op de grijze markt.

Edit.
https://zerodium.com/program.html
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.

Edit 2.
Goed om bijvoorbeeld de documentatie van Vera Crypt door te lezen. Die leggen duidelijk uit dat elke vorm van full-disk encryption nutteloos is op het moment dat de device in handen is geweest van een aanvaller: https://www.veracrypt.fr/...%20and%20Precautions.html

Je zou namelijk een hardware keylogger of een bios rootkit kunnen gebruiken om de master-key te ontfutselen. Dit laatste is waarschijnlijk wat er gebeurd met de GreyKey.

Daarnaast, weet waar jij je telefoon unlockt. Een minder technische aanval is bijvoorbeeld het gebruik van CCTV camera's, of camera's in de wachtruimten van politie bureaus, om pincodes te achterhalen.

Edit 3.
Zit nu trouwens te denken... Zou het erg ingewikkeld zijn om een soort van flinterdun velletje over de iphone te plakken, die de toetsaanslagen opneemt om deze naar een basisstation van de aanvaller te versturen? Dit zou, mits goed ontworpen, niet te onderscheiden zijn van een screen protector. Bluetooth LE, klein transparant chipje... Dus, wie is me voor bij het octrooi kantoor?

[Reactie gewijzigd door Eonfge op 19 mei 2020 11:49]

Zero-days. Er is een rede waarom een zero-day bug een paar ton miljoen oplevert op de grijze markt.

Edit.
https://zerodium.com/program.html
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.
Toevallig laatst nog een nieuwsbericht gelezen over zerodium die dus geen 2 miljoen dollar meer gaat betalen, omdat er teveel bugs zijn op dit moment. Als je de tweet van zerodium leest staat er dat ze zelfs gaan stoppen tijdelijk met het uitbetalen voor bugs. De CEO van Zerodium tweet letterlijk dat iOS op dit moment fucked is en dat hij hoopt dat iOS14 veel beter zal worden.
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.
Als dat GrayKey-apparaat op zo'n waardevolle zero-day bug is gebaseerd, zou dan niet vroeg of laat een medewerker van de fabrikant, of iemand anders die toegang heeft tot zo'n apparaat zoals een politiemedewerker, het apparaat naar Apple brengen (of Apple inlichten over de bug) en een grote beloning claimen?

[Reactie gewijzigd door jj71 op 19 mei 2020 13:42]

Niet als de gebruiks/licentievoorwaarden van dat apparaat stellen dat je dat niet mag doen, op straf van een fikse schadevergoeding en opoffering van je eerst(volgende)geborene. ;)

[Reactie gewijzigd door The Zep Man op 19 mei 2020 14:00]

Tweakers: 'Politie VS installeert iPhone-spyware om toegangscode van verdachten te leren'
Wat een walgelijke praktijken weer van de politie in Amerika, en dan staan ze verstelt dat steeds meer mensen de politie niet meer geloven en een hekel aan ze krijgen.
In Europa mogen ze je dan opsluiten totdat je hun de codes verstrekt. Een kat-en-muis spel met een crimineel vind ik dan wel eerlijker dan een geweer tegen je kop.
Ja en is niks goeds aan, ze mogen dus iemand zo maar opsluiten omdat je niet je code geeft van je Smartphone of andere apparaat, dat is walgelijk, dus jij ben er mee eens dat je vrijheid afgenomen woord als je niet wil mee werken aan je eigen veroordeling?! Dat is wat dit is dat je je wachtwoord moet geven anders ga je de gevangenis in.
Dus een pedofiel met hardeschijven vol encrypted data lacht iedereen uit als hij zijn mond maar houd ?

Fijn moraalkompas heb jij ..... Wees er maar trots op.
Nee een fijn moraalkompas heb jij ..... Wees er maar trots op.
Die pedofiel zou net zo hard veroordeeld moeten worden als de pedofiel die zijn acties helemaal niet filmt.
Hoezo ?
Bij een gerede twijfel en met goedkeuring van een rechter is het hier in NL ook zo geregeld dat je telefoon verkeer wordt afgetapt of dat er bij je thuis afluister apparatuur wordt geplaatst. Niks nieuws, gebeurde al voordat jij geboren was en dit is de moderne versie van het 'afluisteren'..

Een viespeuk met duizenden foto's en video's aan bijv. kinderporno zou je dus moeten laten gaan aangezien hij zelf zijn telefoon niet gaat ontgrendelen ????
Nu wordt het toestel in weze gehacked en kunnen ze de inhoud bekijken.
Boelshit, via een rechter is wat anders, al ben ik daar ook niet mee eens, maar dit is 10x erger, ze doen dit gewoon bij iedereen die ze verdenken, of zelfs niet verdenken, lekker hun smartphone hacken/spyware er op zetten, ik dacht altijd dat je onschuldig was tot het tegendeel bewezen is, of dat je NIET hoeft mee te werken met je eigen veroordeling.
Weet niet in welke wereld jij leeft maar eh 'onschuldig tot bewezen is ?'
Vertel dat eens aan de belastingdienst om maar eens een mooi voorbeeld te noemen.
Of iemand die met een geclonede kentekenplaat van jou boetes rijd, eens kijken hoe jouw stelregel zich dan ontvouwd.

Door af te tappen werk je niet mee aan een eigen veroordeling.
Overigens doen ze dit echt niet bij iedereen. Denk je echt dat iedere Sheriff een Graymachine heeft staan ??

Overigens staat er duidelijk bij:
De politiediensten zouden de software alleen gebruiken als ze een gerechtelijk bevel hebben om de telefoon te mogen onderzoeken.
kortom, dat gebeurt niet bij iedere kruimeldief en ook daar is een heel proces voor nodig.
Een ieder tegen wie een vervolging is ingesteld, wordt voor onschuldig gehouden totdat zijn schuld in rechte is komen vast te staan, beter bekend als; onschuldig tot het tegendeel bewezen is. Onschuldpresumptie heet dat, en staat in de grondwet.

Meer info
Ja, de grondwet ... Klopt.

Nu de praktijk, en zoals ik al zei, zeg dat eens tegen de belastingsdienst.

https://blog.jaeger.nl/nl...trijd-onschuldpresumptie/
Voor de belastingdient geldt de omgekeerde bewijslast. In het strafrecht niet.
Staat nergens in de wet dat het zo voor de belasting is geregeld.
Snap het wel want het gaat om geld en dan klopt alles wel in NL.
Die staat wel degelijk in de wet en is zeker niet altijd van toepassing. Als volgens de verstrekte gegevens de belastingdienst op een hogere aanslag uitkomt dan jij, moet jij bewijzen dat je gelijk hebt.
Het dient een doel. Als 10 miljoen Nederlanders gaan roepen dat hun aanslag 100 Euro te hoog is onder het mom: "bewijs het maar dat het niet zo is" gaat natuurlijk niet werken.
Als de belastingdienst zelf gegevens niet heeft en meent dat jouw aangifte niet klopt is er geen omgekeerde bewijslast. Dan moet de belastingdienst bewijzen.
nee dat heet een digitizer en dat zit al voor je schermpje.
De controller is dan weer lastiger te verbergen, maar een telefoon hoesje kan het een en ander verbergen....

[Reactie gewijzigd door tweaknico op 19 mei 2020 16:28]

Een idee kan je geen octrooi op aanvragen ;)
Bij je arrestatie wordt je telefoon gewoon afgenomen. Vervolgens kunnen ze ermee doen wat ze willen, daarna krijg je hem terug in de verhoorkamer om te bellen, meteen daarna verdwijnt hij weer.
Bij je arrestatie wordt je telefoon gewoon afgenomen. Vervolgens kunnen ze ermee doen wat ze willen, daarna krijg je hem terug in de verhoorkamer om te bellen, meteen daarna verdwijnt hij weer.
Een oplossing is twee PIN codes toestaan:
  • Reguliere code: unlockt zoals je nu verwacht.
  • Alternatieve code: hetzelfde als reguliere code, maar gooit op de achtergrond kritiek sleutelmateriaal en vooraf aangemerkte informatie weg, die niet meer zichtbaar is na de unlock.
Hetzelfde kan je doen met bijvoorbeeld vingerafdrukken.

Het simpele alternatief is je toestel niet meer gebruiken zodra het van je is afgenomen.

[Reactie gewijzigd door The Zep Man op 19 mei 2020 14:00]

Alternatieve code: hetzelfde als reguliere code, maar gooit op de achtergrond kritiek sleutelmateriaal en vooraf aangemerkte informatie weg, die niet meer zichtbaar is na de unlock.
Uit het artikel:
Volgens twee ingewijden zou de software ook de vliegtuigmodus uitschakelen en het wissen van alle data onmogelijk maken
Als dit klopt gaat die manier van alternatieve code niet werken. Misschien een code die eenmalig werkt of beperktere functies heeft (gast-account), zoals alleen kunnen bellen/sms'en.
Als dit klopt gaat die manier van alternatieve code niet werken.
De 'spyware' heeft enkel toegang tot de software, niet het secure element. Het secure element kan alsnog kritiek sleutelmateriaal wissen bij het opgeven van een verkeerde PIN code.

Dit is natuurlijk in de aanname dat de PIN daadwerkelijk het secure element bereikt. Maar goed... Een foute PIN opgeven die daarna door de Politie 'voor het echt' wordt ingevuld die daarna alsnog het sleutelmateriaal wist werkt ook. :P
Ik zou de iPhone verkopen, en een nieuwe aanschaffen van het geld wat je hebt ontvangen.
Laat de politie maar de nieuwe eigenaar traceren. Of krijg je ook een formulier meegeleverd dat je niet mag verkopen etc.

En ik zou dan zo'n wegwerp telefoon aanschaffen of niet de data delen over de telefoon.

[Reactie gewijzigd door theduke1989 op 19 mei 2020 11:30]

Ik denk dat je de telefoon gewoon in de verhoorkamer krijgt en dus niet mee mag nemen, laat staan verkopen/een nieuwe kopen...

[Reactie gewijzigd door watercoolertje op 19 mei 2020 11:44]

Conclusie als je telefoon als verdacht in beslag genomen is raak je hem dus nooit meer aan. Tenzij je weet dat er niets belastends op staat.
Mocht je hem ooit terug krijgen dan zou je de info die belangrijk is er af kunnen halen en dan tel vernietigen.
Inderdaad. Je kan een zogenaamde burner phone gebruiken - die eenmalig of slechts aantal malen gebruikt wordt.
Als ze dan je telefoon terug geven tijdens een verhoor dat nummers mag wissen. Dan zeg tocht dankjewel. En wis je de hele telefoon.

Maar als je weet dat belastende dingen in je telefoon staan Stel je hem toch in dat na een x aantal keer foutieve code zichzelf wist.
"Als ze dan je telefoon terug geven tijdens een verhoor dat nummers mag wissen. Dan zeg tocht dankjewel. En wis je de hele telefoon."
Dan trap je er mooi meten open ogen in. Als de politie tijdens verhoor je telefoon aan je overhandigd en er ook nog bij zegt dat nummers wissen mag dan lach je ze uit en vraag je of ze denken dat je achterlijk ben. Je mag nummers wissen hoor, ja nog ff. Zie je het al voor je, als je daar in trapt verdien je het ook gewoon.
Een andere truc zou kunnen zijn iemand vrij te laten, telefoon terug geven. En em dan observeren en wachten tot de verdachte zijn/haar telefoon gebruikt en dan weer arresteren. Met het risico dan iemand de telefoon gelijk aan stukken slaat zodra ie de kans krijgt. Al valt dat misschien op te lossen met een complete telefoon cloon die tot na het invoeren van je wachtwoord het zelfde lijkt als de jouwe. En het wachtwoord direct doorstuurt naar de politie. Al kunnen eigen achtergrond op het inlogscherm misschien roet in het eten gooien. Weet niet hoe dat bij iOS zit. En als je het artikel had gelezen had je geweten dat de spyware de functie om de telefoon te wissen heeft geblokkeerd.
Ik zou er trouwens ook niet raar van opkijken als blijkt dat men dergelijke software op afstand kan installeren. Zou wel een stuk handiger zijn om eerst de inlogcode van iemand te achterhalen en hem dan aanhouden en gelijk in de telefoon kunnen. Maar misschien dat dergelijke technieken alleen aan de NSA zijn voorbehouden in de VS.
Volgende keer eerst het artikel lezen voordat je reageert
De Amerikaanse politie werkt volgens NBC News met de Hide UI-software, die werkt als een soort keylogger. De politie zou de telefoon van de verdachte aansluiten op het GrayKey-apparaat van ontwikkelaar Grayshift, die de software installeert. Daarna zou de politie de telefoon weer overhandigen aan de verdachte en hem verleiden deze te gebruiken. Ze zouden de verdachten bijvoorbeeld vertellen dat hij zijn advocaat mag bellen, of dat hij telefoonnummers van zijn iPhone mag verwijderen. Hierdoor voert de verdachte zijn toegangscode in
Dan Snap je dat de gemiddelde iter slimmer is dan de politie. Alhoewel ik door reactie wel begin te twijfelen 😘
Daarom zal het even uitleggen.

Ze doen dit inderdaad omdat dan gelijk via dat apparaat op afstand je code mee kunnen lezen en waarschijnlijk zullen voor jouw iets verzinnen dat je hem niet stuk kan gooien. Want niet helpt omdat kans klein is dat het geheugen stuk gooit.

ik daarin voer X keer de verkeerde code in waardoor een iPhone het onmogelijk maakt nog te unlocked en als hij de mogelijkheid krijgt zichzelf wist en het geheugen overschrijft. privacy feature. Om data lekken te voorkomen.

[Reactie gewijzigd door xbeam op 20 mei 2020 03:09]

Mja goed maar als je niet meewerkt en er is geen ander bewijs om je aan te houden zal men je op een gegeven moment moeten vrij laten. Ik ga er vanuit dat de politie dan alsnog zal proberen om in het toestel te geraken door het mee te geven en je even later terug op te pakken
Wel met het risico dat als er echt belastende data opstaat en de verdachte redelijk scherp is hij de telefoon ook gelijk kan vernietigen.
Nja dan heel simpel, graaf een gat, gooi hem erin met het doosje. Maak de gat dicht.
En maak een wandeling naar je advocaat of iets. Genoeg manieren.

Ik zou dit nooit accepteren of ik nou verdacht ben of niet. En dan maar zeuren over hoe CHINA er mee aan toe gaat. dit is niet beter
Jij bent kennelijk nooit in China geweest als je zo'n vergelijking maakt. Je zou nu naar de Covid-19 periode moeten weten hoe het is om een beperking van persoonlijke vrijheden te ervaren. En dat dan 24/7, 365 dagen per jaar.

Omdat je het misschien niet eens bent met het beleid van Trump/America, moet je het niet gaan vergelijken met China. That's an whole other ballpark, zouden de Amerikanen zeggen.
[quote]
Omdat je het misschien niet eens bent met het beleid van Trump/America, moet je het niet gaan vergelijken met China. That's an whole other ballpark, zouden de Amerikanen zeggen.
[/quote]


Mooi man, dat zouden de Amikanen zeggen. Ik ben geen Amerikaan of denk vanuit die hoek.
Jij blijkbaar wel .)
Volgens mij zit de telefoon alleen aan dat apparaat aangesloten om de software te installeren.
Dat denk ik ook.
-Je wordt aangehouden en moet op het bureau je zakken leeg maken.
-Je telefoon gaat aan de graykey die er hideui op zet.
-Daarna mag je je telefoon even terug om je advocaat te bellen.
-Als je dat gedaan hebt moet je je telefoon weer inleveren.
-Dan gaat de telefoon weer aan de graykey om je wachtwoord er af te halen.
-Daarna mag je je telefoon even terug om je advocaat te bellen.
Daar zou ik toch echt nattigheid gaan voelen, wat zijn dat voor rare praktijken...

De gemiddelde smartphone kan je van alles mee doen van het wipen van externe computers tot het wipen van je smartphone zelf etc etc etc om maar bewijs te vernietigen.
Maar je zou hem even terugkrijgen omdat hij zo lekker in de hand ligt bij het bellen oid? En een andere hoorn daar kan je maar niet aan wennen?
Ja precies, dat is ook hoe ik het dacht.
Als je weet dat shit op je telefoon staat zeg je toch dankjewel. Typed X keer de verkeerde code en geeft hem gelijk terug waarnaar je vraagt mag ik jullie telefoon even gebruiken om bellen en hebben jullie zijn nummer want ik moet zo nodig plassen dat ik me code nu even niet meer weet.

[Reactie gewijzigd door xbeam op 20 mei 2020 02:53]

Ik denk niet dat de telefoon er nog aan hangt als de verdachte het terugkrijgt...
Met fysieke toegang is veel mogelijk.
Er hoeft maar een non-discoles security lek in de iPhone aansluiting te zitten waar de software misbruik van maakt.
Ik denk met name als de iPhone achterloopt met iOS updates, want sinds 11.4.1 is USB Restricted Mode ingebouwd en standaard ingeschakeld. Zonder dat kan een USB apparaat het lockscreen omzeilen.
Je weet toch wel dat er meerdere manieren zijn om spyware op een apparaat te krijgen?
Net zoals je op elk ander apparaat met een veelgebruikt besturingssysteem spyware installeert.
En wat nou als je met touch-id of face-id je iPhone ontgrendeld? Dan kunnen ze geen toegangscode ontfutselen.
Politie is (in NL, maar vast ook daar) gerechtigd om foto's van jou te maken en jouw vingerafdrukken te nemen, zelfs als je daar tegen bent. Je kunt je daarvoor niet beroepen op schending van privacy, onwettelijkheid, etc.
Als jij dus jouw telefoon met jouw vingerafdruk of gezicht unlocked, dan mag de politie dat ook proberen omdat het in wezen niet verschilt van jouw vingerafdruk nemen of een foto van je maken; beide mogen.
Ze kunnen je echter niet dwingen om je pincode af te geven. Daarom proberen ze op deze manier achter de pincode van de verdachte te komen. Ik neem aan dat ze het 'verkopen' dat de verdachte zelf zijn pincode heeft ingetikt en niet gedwongen werd deze af te geven. Wat in feite ook zo is.
Maar een smerige truuk is het wel....
Ik vraag me af of dit in NL stand zou houden.

Want het zeggen : bel je advocaat met je eigen mobiel en dan het niet mogelijk maken om een vaste lijn of telefoon van de politie te gebruiken lijkt me wel een makkelijke manier om te laten zien dat het nou niet echt redelijk is.

Maar dit is wel speculatie want ze kunnen in principe ook zeggen : Je kunt je advocaat bellen wij kunnen een telefoon voor gebruik leveren maar je mag ook je eigen telefoon gebruiken en dan is het enigzins je eigen schuld.

‘..een verdachte die door de politie is aangehouden, aan artikel 6 EVRM (een Europees verdrag) een aanspraak op rechtsbijstand kan ontlenen die inhoudt dat hem de gelegenheid wordt geboden om voorafgaand aan het verhoor door de politie aangaande zijn betrokkenheid bij een strafbaar feit een advocaat te raadplegen.

https://www.judex.nl/rech...te-recht-op-een-advocaat/

Hebben we hier een persoon met een rechten opleiding die het antwoord heeft? ( nu ben ik wel heel nieuwsgierig)

[Reactie gewijzigd door Zyphlan op 19 mei 2020 12:24]

In Nederland heb je géén recht op een telefoontje. Je hebt recht op overleg met je advocaat, en die zal dus gebeld moeten worden maar dat kan ook doordat jij zegt hoe die heet en de politie de advocaat belt.

Ik denk dat het wel mag, mensen hun telefoon teruggeven zonder te zeggen dat je er spyware op gezet hebt. Maar ik zou dan zeggen dat mijn advocaat daar niet instaat en dat ik zijn nummer niet weet.
En de verkeerde code invoeren.
Doe je dat namelijk te vaak dan wist en overschrijft een iPhone zichzelf.
Of alleen het nummer laten opzoeken?
Ja maar in principe moeten ze het dan mogelijk maken om dat te doen via een telefoon / computer van de politie anders wordt het wel heel krom je hebt recht op een advocaat en het kan niet zo zijn dat je dat recht niet kan uitoefenen omdat ze malware op je mobiel gegooid hebben.
Misschien moet je gewoon het nummer van je advocaat instellen als emergency nummer?

Op Android kun je dat bellen van op je lock screen - denk ik toch, nog nooit geprobeerd.
Wel of niet advocaat bellen is niet relevant. Daar heb je recht op, punt. Relevant is of je de verdachte in zijn belangen schaad en of de misleiding proportioneel is. Let wel een belang is niet om de waarheid niet aan het licht te laten komen. Het belang is een eerlijk proces. En daar wordt niet aan getornd.

Als dit kan is wel een innovatief scenario en dat maakt het altijd lastig om te toetsen tegen strafvordering. Persoonlijk denk ik dat het juridisch wel kan.
FaceID vindt foto's om te lachen. Daar reageert ie niet op..
Dat lukte hier in huis anders wel, vooral als de foto met een andere telefoon wordt getoond.
Was dat ook een iPhone? Die maken een 3D-scan, wat vanaf een schermpje/foto niet werkt. Ik weet dat mijn Nokia7+ ook een gezichtsherkenning heeft gehad (is er in A10 uit gehaald, lijkt het) maar omdat die geen dieptescan doet pakt die inderdaad wel gewoon een pasfoto. Zal gelijk de reden zijn dat het eruit gehaald is, vermoed ik.
Zeker, een XS max. Is twee keer gelukt, maar de meeste keren niet. Weet niet of ze ook iets met temperatuur doen? Voor een 3D scan zijn twee camera's nodig heeft de Iphone die aan de schermkant?
iPhone heeft een IR projector die gigantisch veel dots projecteert:

https://www.youtube.com/watch?v=g4m6StzUcOw
Bij het configureren van gezichtsherkenning bij oudere Samsung devices raadde Samsung het zélf al af om die functie te gebruiken (maar ja, het blijft Samsung, dus was de optie er toen nog gewoon wel....)
Omdat dit werkt met een foto, en niet zoals een Kinect met een IR raster om een 3D scan van je gezicht te maken, waarbij je ogen ook open moeten zijn.

Android werkt pas sinds kort met echte gezicht unlock.
Ja ik snap hoe het werkt, en ik snap ook dat Samsung die functie er weer uitgesloopt heeft om die reden ;)
Maar is dat native vanuit Android of een addon van de fabrikant?

Dark mode in Android is ook nog vrij nieuw terwijl bijv. Samsung dat al langer had..
de s7 is nog de enige telefoon die nog nooit unlocked is met een foto of iets dergelijks. de s7 heeft wat dat betreft de beste beveiliging!
Best knap, een 3D foto maken.

Apple's FaceID werkt door een 3D-scan van een gezicht te maken. Dat gaat 'm niet worden met een foto..
Dan ben je de eerste die APples FaceID fopt met een Foto. Ik zou NYT bellen want je hebt een primeur.
Heel simpel ...
FaceID fop je niet even, maar als je hem in beslag legt dan doe je een aantal attempts met een willekeurig gezicht en na een aantal keren stopt hij met FaceID en kan je alleen met pincode unlocken.
Na dat proces bied je hem dus aan.
Overigens moet je met face ID ook regelmatig de code invoeren, zeker als de telefoon een tijdje niet gebruikt is.

Als jij wordt opgepakt, de cel in, verhoort en 2 dagen later weer verhoort wordt dan weet ik zeker dat het heel normaal is dat FaceID niks gaat doen en je de code moet invoeren.
Geldt dit niet pas bij een strafeis van minimaal 5 jaar dat je vingerafdrukken moet afgeven?
Alleen dat afgeven is vooral als je veroordeeld bent toch? Want dan is het meer dat het belang om jou te straffen groter is dan dat jij tegen het afgeven van je vingerafdrukken bent. Daarmee zou dit dus niet kunnen worden gebruikt om bewijs te vinden, maar pas achteraf (als de zaak al is geweest) in je telefoon te kijken.
Foto gaat niet werken want Face-ID werkt met een 3D scan van je gezicht. Als je als je verdachte je ogen sluit gaat het hen ook niet lukken door het toestel op je gezicht te richten en hoe meer men probeert en mislukt hoe sneller Face-ID overschakelt naar pin code
Ze kunnen inderdaad foto's en vingerafdrukken maar om deze te gebruiken moeten ze echt wel een rechtelijk bevel hebben. Zomaar je papieren inzien in de VS is ongrondwettelijk.

Daarnaast is de iPhone niet bevattelijk voor de truc met de foto noch van een kopie van je vingerafdruk, Android systemen wel maar de Face ID niet.
Dan houden ze hem voor je gezicht en is hij ook ontgrendeld.
Ogen dicht en opgelost.
Dat mogen ze dus wel bij je afdwingen net als je vingerafdruk...
Niet waar. Je vingerafdruk mogen ze wel registreren in hun computer, maar niet gebruiken voor het ontgrendelen van een telefoon. Je hoeft namelijk niet mee te werken aan je eigen veroordeling
Welles, dat afnemen voor ontgrendelen valt onder diezelfde bevoegdheid en dat is géén schending van het recht niet tegen jezelf te hoeven getuigen. Dat laatste betreft alleen wat jij weet, niet wat je bent of hebt. Een pincode is dus hoe dan ook slimmer in dit verband dan welke biometrie ook.
Gewoon naar je telefoon roepen “Hey siri, van wie is deze telefoon?”. Wordt FaceID meteen uitgeschakeld. Of dat ook met TouchID zo is weet ik niet.
Dan moet Hey Siri wel werken, en in mijn ervaring werkt het (op diverse iDevices) alleen wanneer je er niet om vraagt.
Je kunt ook biometrische vergrendeling uitschakelen op iPhones of IPads door de volgende knop(pen) voor enkele secondes (tegelijkertijd) in te drukken.

TouchID: power
FaceID: power + volume up / down
In hoeverre kunnen of mogen ze afdwingen dat je je ogen open doet?
TouchID is dan wel een dingetje, dan moeten ze 'm tegen je vinger aan dwingen. Da's makkelijker dan je dwingen je ogen open te doen denk ik.
Tuurlijk niet, bij elke pijn trigger schieten je ogen automatisch open. "gewoon een vriendelijk schouderklopje bij de verdachte, klaar)
En dat zit op de grens van mishandeling en dwang. Politie moet heel goed uitkijken wanneer zo iets doen want als de verdachte een goede advocaat heeft, kan dit nog wel eens heel wat speurwerk onbruikbaar maken.
Per ongeluk een punaise op de stoel laten liggen, "bedrijfsongevalletje", of gewoon de beste man zichzelf naar buiten laten wandelen, hij zal toch rven zn ogen open moeten doen om de deur te vinden... Genoeg manieren te bedenken. Desnoods verhit je de deurklink, hij is degene die hem vastpakt right

Ik geloof niet in goede advocaten in de usa, enkel dure advocaten. En de politie is daar ook al meermaals bewezen niet altijd de meest nette/vriendelijke

[Reactie gewijzigd door Unsocial Pixel op 19 mei 2020 12:39]

En al die tijd wil jij een iPhone voor z'n gezicht houden? Wel erg onrealistisch.
Met één oog dicht herkent ie bij mij ook niks, moet ze echt beiden open hebben en recht naar het scherm kijken. Opzij kijken oid. telt ook niet.
Niet naar je iPhone kijken en opgelost.
Niet helemaal, wij hebben dit op het werk getest en 9 van de 10 keer unlocked hij gewoon. Wij hadden wel het idee (of dit klopt met hoe het systeem werkt weet ik niet) dat het bij donkere collega's het slechtste werkt. Het grappige was wel dat het bij mijn oneplus niet lukte terwijl daar helemaal geen 3d in zit.

[Reactie gewijzigd door Finger op 19 mei 2020 13:04]

Dan stond het gewoon uit want je kan een iPhone niet unlocken met gesloten ogen.
Er is altijd een code als backup als ik me niet vergis
Dat is correct. Voor zowel Touch-ID als Face-ID is het verplicht een toegangscode in te stellen. Stel dat je verminkt raakt, dan kan je zonder vinger of aangezicht nog steeds je persoonlijke data bereiken.
Hoe werkt dat eigenlijk? De vingerafdruk-scanner, is dat een chip die je pincode weet?

Kan de FBI die chip en vingerafdruk "voeren" omdat ze alle vingerafdrukken van iedereen heeft?
Hangt van de scanner af. Optische scanners zijn relatief makkelijk - dat hebben de Mythbusters aan den lijve ondervonden toen ze erachter kwamen dat zelfs een redelijke fotokopie van een vingerafdruk vrolijk herkend werd, maar andere scanners zijn wellicht moeilijker. Een capacitieve scanner zal bijvoorbeeld al niet werken met een droog papiertje, omdat dat niet-geleidend is. Daar zijn ook wel weer oplossingen voor, maar dat wordt alweer veel lastiger.

Wat de werking betreft, dat zal gewoon een koppeling zijn - de vingerafdrukscanner vergelijkt de aangeboden vinger met diegenen die eerder zijn ingesteld, en spuugt vervolgens een "ja" of "nee" uit. De telefoon zal dus óf die code, óf de scanner accepteren als ontgrendeling, ik denk niet dat de scanner die code "weet".
de vingerafdrukscanner vergelijkt de aangeboden vinger met diegenen die eerder zijn ingesteld, en spuugt vervolgens een "ja" of "nee" uit.
Dat is precies wat ik graag in detail wil weten. Ik kan me niet voorstellen dat het zo zit. Dan kan je immers gewoon een 'hoog signaal' geven op het pootje van de scanner om te simuleren dat hij een "ja" geeft. Het enige dat de FBI dan nodig heeft is een draadje en een schroevendraaier.
Capacitieve schermen werken juist wel met een droog papiertje, net zoals het cap. scherm van je mobiel, waarvan de toplaag van niet geleidend glas is.
Cap. schermen werken juist niet met een geleidend papiertje ertussen (alu folie) omdat dat het electrische veld onderbreekt.
Nee, zoals @Sjeefr zegt is de pincode noodzakelijk om in te stellen zodat je de boel nog kan ontgrendelen als je vinger of gezicht het "niet meer doen". In de software wordt je vingerafdruk gewoon als een soort extra toegangscode gezien.

En ook nee maar tegelijkertijd ja. Doorgaans mag je na iets van 5 mislukte vingerafdruk-pogingen 30 seconden wachten voordat je een nieuwe poging kan doen. Dan kan je dus maximaal 10 vingerafdrukken per minuut proberen. Aangenomen dat alle vingerafdrukken uniek zijn (maar dat zijn ze niet) duurt het ruim 30 jaar om alle vingers van alle Nederlanders te proberen. Dus het kan wel, maar praktisch gezien niet. Ditzelfde is hun probleem met toegangscodes bruteforcen.
Is sowieso onmogelijk, na een aantal mislukte pogingen moet je je pincode invoeren
Ik ben dus benieuwd hoe dit precies zit om beter in te kunnen schatten hoe veilig dit is. Ik ben huiverig voor vingerafdrukscanners, niet omdat ik ban ben dat de mythbusters mijn vingerafdruk 3d-printen, maar ik kan moeilijk vinden hoe dit technisch gezien precies zit.

Staat de hash op het interne geheugen? I.e. als je de vingerafdrukscanner en de pincode-invoer omzeilt, de telefoon open schroeft, en het interne geheugen uitleest, kan je dan naar gelieven ongelimiteerd brute-forcen? Of is er een speciale pincode-hardware met ingebouwde 30-seconden-wachten regel waar de hash in opgesloten zit?

De user credentials bevatten waarschijnlijk een key/hash in de Credential Encrypted Storage waarmee je uiteindelijk toegang hebt tot alle bestanden, en deze key/hash is ongetwijfeld een stuk complexer dan een pin code. De pipeline is dan:

Fingerprint -> Pin Code -> User Credentials -> File System.

Zijn die eerste twee hardwarematig op dedicated chipjes?
Hangt van de implementatie af. Ik stel me voor dat het bij de meeste devices volledig in de chip zit en dat die alleen maar OK naar het OS communiceert, maar het kan op een heleboel manieren. De gevoelige data (je vingerafdruk-hash/whatever) staat waar mogelijk in een beveiligd stuk geheugen wat niet zomaar toegankelijk is in software of hardware (aparte chip onder een laag epoxy bijvoorbeeld) maar nogmaals, dat hangt van de implementatie af. De pipeline, als je die zo wilt zien als jij doet, ziet er dan ietsjes anders uit:
Fingerprint -> User Credentials -> File System
Pin Code -> User Credentials -> File System
Dus de een werkt onafhankelijk van de ander. De reden dat er een pincode bij gevraagd wordt is omdat je vingerafdruk buiten jouw wil kan veranderen en je dan nog steeds bij je telefoon moet kunnen. Een vingerafdrukscanner zelf kan prima zonder pincode of wetenschap van een pincode werken.
Juist de pincode wordt altijd door het OS afgehandeld dus in dat opzicht zal die minder veilig zijn qua implementatie dan een vingerafdrukscanner met losse chip. Anders zou je een apart keypad moeten hebben specifiek voor de pincode. Voor de praktijk zou ik me er niet al teveel zorgen over maken en verwijs ik je door naar xkcd 538.
Misschien divergeren Android en iPhone daar, want bij Android kan je na iedere reboot de fingerprint pas gebruiken als je eenmalig de pincode hebt opgegeven.

Ik was in de (ongefundeerde) veronderstelling dat de pincode zo in het geheugen van de fingerprint chip terecht kwam, en dat deze na een reboot weer leeg was (volatiel geheugen).
Dat zou kunnen, maar dat zal dan puur zijn om het geheugen van de vingerafdrukscanner te decrypten, niet om de pincode in plaintext te onthouden en naar het OS te sturen als je je vingerafdruk gebruikt. De pincode/patroon wordt bij het opstarten eigenlijk vooral gebruikt om ervoor te zorgen dat je hem niet vergeet, door regelmatig te eisen dat je hem invoert. Mijn telefoon vraagt ook bij lange uptime periodiek om het patroon en weigert op dat moment te ontgrendelen met mijn vingerafdruk. Ook voor het ontgrendelen van eventuele encryptie wordt de pincode/patroon gebruikt, waardoor die nodig is om überhaupt op te starten.

Het is verder uiteindelijk allemaal code, als je een OS / lockscreen zo schrijft dat die alleen een vingerafdruk nodig heeft om te ontgrendelen kan dat gewoon, helemaal zonder pincode. Voor face-unlock kan je ontgrendelen met het juiste gezicht, maar je kan ook best instellen dat 'ie bij ieder gezicht unlockt als je boos naar de telefoon kijkt. Wederom zonder pincode. De pincode is ook maar gewoon een software-construct waar je omheen kan werken. De meeste keuzes op dat gebied zijn gedaan vanwege usability en security, dus er is niks verplicht maar dat is door de fabrikant beter/veiliger geacht.
Verminkt raakt is wel weer een heftig voorbeeld. Met handschoenen aan en een shawl voor je gezicht werkt het ook al niet.
En als je lang op de power en volumeknoppen drukt, kan je forceren dat een pincode nodig is om de telefoon te unlocken, FaceID en TouchID werken dan tijdelijk niet meer.
Gewoon rebooten forceert het gebruik van de pincode ook
Ook inderdaad. Plus een pincode mogen ze je niet afdwingen meende ik eerder bij die FBI nieuwsberichten te hebben gelezen.
Ja dat top als Jan namelijk 10 keer de verkeerde code ingeeft wist iPhone zichzelf 🤯
Klopt, maar dat is toch weer een extra stap, omdat je voor rebooten ook de power en volumeknoppen moet indrukken en daarna een schuifje moet verplaatsen om hem uit te doen ;)
Of 5 keer de power knop
Dat is een kwestie van de telefoon een keer opnieuw starten. Daarna wordt altijd de code eenmalig afgedwongen voordat FaceID of TouchID weer werkt.
Dat hoeft niet eens. Zodra je in op het scherm komt waarmee je je telefoon kan afsluiten, is vervolgens een pincode nodig! Het afdwingen van de pincode is dus maar een seconde of 2 werk.
Maar dat is natuurlijk een beetje doorzichtig als je hem zogenaamd aan de verdachte teruggeeft om een belletje te doen ;)
Beet pakken, volume + power knop ingedrukt houden (dus eigenlijk in de telefoon knijpen) en je bent klaar. Kan zelfs zonder naar het scherm te kijken. Desnoods pak je het toestel vast, hou je die knoppen ingedrukt en praat je ondertussen tegen de beste ambtenaar om m af te leiden om vervolgens langzaam naar je telefoon te kijken:

“Oh shit, hij vraagt om de code, die weet ik niet meer, ik gebruik altijd m’n gezicht”

Hoe willen zij bewijzen dat je die code wel weet, en dat je niet het even een mental breakdown hebt van de stress van het hele gebeuren waardoor je het even niet meer helder kan krijgen.

[Reactie gewijzigd door xoniq op 19 mei 2020 13:29]

Als de telefoon een tijd niet gebruikt is geweest, of uit is geweest, dan moet je juist je code invoeren om biometrische authenticatie te laten werken. Dit is juist vanuit het idee dat iemand dan niet zomaar je gezicht of vingerafdruk kan gebruiken om bij je data te komen. Een sterke code is in die zin altijd nog beter dan biometrische gegevens. Dat blijkt juist uit dit hele verhaal: hoeveel moeite men doet om uiteindelijk toch te proberen iemand zijn eigen code te laten intikken.
Vroeg of laat voer je toch een keer je code in. Als die net is opgestart of als die door omstandigheden je vinger/gezicht niet kan herkennen.
Waarschijnlijk zetten ze je telefoon eerst uit waardoor je je code wel in moet voeren wil je ontgrendelen.
Gewoon 10 keer de verkeerde code invoeren. Dan wist en overschrijft een iPhone zichzelf en hebben ze niets meer.
Ik geloof dat na een reboot van je telefoon (maar ook als de batterij leeg is (geweest)) er sowieso een pincode nodig is voordat touch-id of face-id weer werken.
Ja, na een reboot of na een paar dagen, welke dan ook als eerste komt.
Als je meerdere keren probeert in te loggen met face-ID of touch-ID en dit niet lukt, moet je je code invoeren. Ook na een restart moet dit, dus het is waarschijnlijk één van die twee dingen.
Dan houden ze het toestel toch gewoon even voor je gezicht?...
HEEEEEEEEEEL simpel !

Je pakt de telefoon en je doet face ID en die unlocked NIET op een vreemde.
Na een aantal foute attempts kan je alleen maar inloggen met password.
Daarna bied je hem aan.
...

[Reactie gewijzigd door greatkz op 19 mei 2020 16:16]

Dus als je telefoon in handen is geweest van rechercheurs, gewoonweg een aantal keren verkeerd je pincode invoeren en zorgen dat ie zichzelf wist. (op voorhand instellen in de instellingen) Dan valt er niets meer te vinden. Vanaf heden mag je er dus altijd vanuit gaan dat men aan het rotzooien is geweest met je telefoon.
Als je het artikel leest, dan zie je dat die tool dat dus onmogelijk maakt. Je kan je telefoon niet meer wissen.
Dan nog proberen. Na 10 pogingen zal de telefoon dan misschien niet de data wissen, maar dan is het ook niet meer mogelijk een nieuwe code te proberen. Veel succes een encrypted telefoon te unlocken, waarbij je dus geen pogingen meer hebt via de pincode. Dan is je enige hoop een zero-day exploit waarbij je alsnog bij de data kan.
Of de icloud backup vragen aan Apple.
Om die te uncrypte heb een paswoord nodig. Pincodes van telefoons zijn meestal korter
Dit is wat ik daarover kan vinden als je zoekt op icloud backup encryption:
“Unlike the physical device, Apple holds encryption keys to this data. If ordered by courts, it can decrypt and provide copies of those backups to law enforcement.”

Jouw twee zinnen zijn waar, maar staan los van elkaar.
1. Om de icloud backup te encrypten is een password nodig: alleen Apple heeft die key. Dus dat is makkelijk.
2. Pincodes van telefoons zijn meestal korter: Dat geloof ik.

Mijn punt is:
Je data op je eigen telefoon en in je eigen backup is veilig; maar je data in de icloud-backup is dat niet. Als het bevoegd gezag die backup opvraagt, dan wordt dat gegeven.
Als gevraagd wordt de telefoon te unlocken dan wordt dat niet gedaan.
Waarom doen ze dan zie moeilijk dat ze hem willen unlocken. Vraag dan gelijk de back-up up. ;-)
En dan weet je dat het tijd is om je telefoon weg te gooien en een nieuwe te kopen.
Terwijl je bij de politie op het bureau zit, en de rechercheur aandringt dat je je mobiel gebruikt om je advocaat te bellen?

Iets zegt me dat dat niet helemaal het idee is ;)
Ik heb op zich niet per definitie problemen met het installeren van spyware, is wat mij betreft een betere oplossing dan het verbieden van encryptie en het verplicht moeten meewerken aan je eigen veroordeling. Hierbij raak je in ieder geval in theorie alleen de mensen waarvan al een sterke verdenking is. Even buiten beschouwing gelaten wat die spyware kan doen als het in andere handen valt. Een politie pistool kan ook in verkeerde handen vallen, dat staan we ook toe.

Maar zoals gebruikelijk gaan ze in de US wel weer een stap verder. Dit neigt naar uitlokking om mee te werken aan je eigen veroordeling. Vooral als er al wat hints worden gegeven wat je er mee kunt doen...
slippery slope. Ik heb hier wel problemen mee. Wie houdt er toezicht op de installatie van de malware? Waarom zou men niet beginnen van bij iedereen die malware systematisch te installeren? Wat gebeurd er met de verzamelde data als het onderzoek gesloten wordt?
Ik vind het installeren van malware niet veel anders dan het plaatsen van afluister apparatuur bij iemand. Hier is op een per-case basis een menselijke interventie voor nodig en het moet getoetst worden door een rechter(commisaris). Wat er met de gegevens gebeurt nadat deze zijn verzameld: als er geen wettige grondslag meer is dienen deze te worden vernietigd, in elk geval in Europa.

En m.b.t. het systematisch installeren van deze malware: dat is precies iets waar ik volledig op tegen ben. Net als het inbouwen van backdoors en het verbieden van encryptie. Dat gaat tegen allerlei beginselen in die ik hoog in het vaandel heb. Vandaar ook mijn stelling dat menselijke interventie nodig moet zijn (zo'n dongle er aan) en het op per case basis moet worden bekeken.
En waarom straks niet gewoon verplcihten standaard meekijk spul op de telefoon te instaleren? scheelt weer een probleem met het aanschaffen van een vaag apparaat.
Tja, daarom ben je ook verplicht om bij de koop/huur van een woning de afluisterkit van de AIVD te installeren...
De vraag is of wat Grayshift doet als ontwikkel wel legaal is.
Het lijkt erop van niet.
Dit soort software kan dus ook door criminelen gebruikt worden ipv overheidsdiensten.
Verder is het nu duidelijk geworden dat criminelen nooit hun eigen telefoon moeten gaan gebruiken als deze tijdelijk “uit het zicht” is geweest.
Mochten ze dan toch moeten en mogen bellen is een simpele smartphone van een paar tientje voldoende.
De vraag is of wat Grayshift doet als ontwikkel wel legaal is.
Het lijkt erop van niet.
Dit soort software kan dus ook door criminelen gebruikt worden ipv overheidsdiensten.
Waarom is het niet legaal? :)
Het doel van deze software is om iets achter de rug van de gebruiker om te doen.
Waarom zou je als gebruiker van je EIGEN telefoon een keylogger willen installeren?
Beetje merkwaardig.
Ik vraag me dus serieus af waar deze ontwikkelaar mee bezig is.
Ik zie niet in hoe het achter elkaar zetten van heel veel enen en nullen illegaal kan zijn. Het verkopen / gebruiken is een ander verhaal. Vandaar dat ze het dus alleen aan overheden verkopen. :)
Maar er is verder niks illegaals aan het schrijven van een keylogger hoor. ;)
Het feit dat ze het alleen aan overheden verkopen moet je toch wel aan het denken zetten toch?
Ik vind dit nogal merkwaardig.
Als ik software ontwikkelaar was zou ik hieraan niet mee willen werken.
Zou het mij niet interesseren zou ik wel als software ontwikkelaar bij de overheid gaan werken.
Vraag me ook af of rechter de genoemde werkwijze toelaatbaar vinden.
Er zitten grote risico’s aan ook al vertrouw je de overheid, dergelijke software kan ook in verkeerde handen vallen.
Ik zou hier zeker niet aan mee werken inderdaad. Ook zou ik hier mijn exploits niet verkopen, maar goed dat is makkelijk praten voor mij, want ik heb die kennis ook helemaal niet. :P
Stel dat je een Android of iOS RCE vind en daar 2,5 miljoen dollar voor kunt vangen, gooi je dan je principes over boord? Ik wel in ieder geval. :P

Rechters vinden dit prima toelaatbaar denk ik, want dit speelt al een jaar of 10 zeker. Er zijn best veel bedrijfjes die dit doen.
Voor geld is alles te koop.
Dat blijkt ook wel weer.
Ik vind dit schimmige bedrijfjes die zich hiermee bezig houden.
Toch werken er slimme gasten want je moet wel wat kennis in huis hebben om zo’n app te maken.
Jammer dat ze hun kennis niet inzetten voor nuttiger zaken maar dat is een algemeen probleem wat op allerlei gebieden speelt.
Iemand kan dit ook doen als je je toestel bent verloren, om het vervolgens terug te geven.
Tsja, een beetje crimineel is net iets slimmer dan de politie. En dus doet mijn smartphone na 3 verkeerde pincodes een factory-reset en is alles weg. Of ben ik nu erg simpel?
Ja. Punt met dit ding is nou juist dat niet alleen de pin-code niet ge-brute-forced wordt (dus geen verkeerde pogingen), en dat gelijk dat mechanisme dat de factory-reset uitvoert, om zeep wordt geholpen (uit het artikel: "Volgens twee ingewijden zou de software ook Airplane uitschakelen en het wissen van alle data onmogelijk maken."). Dus zelfs als jij dan zelf bewust meerdere verkeerde PINs invoert om de data te saboteren, werkt dat niet meer.

Zal dus wel een soort rootkit zijn die erop gezet wordt, ik zou anders niet weten hoe je dit kunt afdwingen.
Stiekem hoop ik niet dat criminelen zo slim zijn.
Vanuit security gezien is na 3 foute pw wel een goede beveiliging maar in praktijk kan dit soms vervelende gevolgen hebben. Iemand pakt de verkeerde telefoon, kinderen die grappig doen.
Maar als ik mezelf beter wil beschermen doe ik dat zeker en gebruik ik geen vingerafdruk. Al heb ik liever pas na 5 of 10 keer en nog beter is een pincode die dat in een keer regelt.
Apple heeft de optie om na 10 keer de foute pin alle data te wissen. Dit staat bij mij uit vanwege mijn kinderen... Het is wel zo dat na x foute PINs er een time out is, die iedere keer groter wordt. Eerst 30sec, dan 1min, 2min, 5min, 10min etc.
Dat mensen hier zo verontwaardigd over zijn. De telefoon is gewoon de "kluis" van tegenwoordig.

Had je vroeger je belangrijkste zaken in een kluis liggen, staan deze nu op een telefoon. Moest men vroeger de kluis kraken (of "brute forcen") moet men nu de telefoon kraken. Het verschil is echter dat het kraken van een kluis aanzienlijk makkelijk gaat dan een telefoon vergrendeld met encryptie, etc. Het is dus logisch dat men dit soort dingen doet om achter de sleutel te komen en het kraken eenvoudiger te maken.

Als je niet wil dat ze belangrijke zaken op je telefoon ontdekken, moet je ze maar ergens anders bewaren. Hetzelfde dat men vroeger meerdere kluizen had en/of kostbare bezittingen simpelweg "verstopten"

Welkom in de 21e eeuw!
Die analogie klopt niet helemaal.

De telefoon encryptie brute forcen is hetzelfde als een kluis open breken.

Dit is meer iemand toestemming geven om zelf zijn kluis weer te gebruiken en dan stieken meekijken wat de code is.

Die code is met reden geheim en hoef je volgens de wet niet af te geven. Dan is het via spyware verkrijgen van die code dus ook vreemd en ongewenst.
Een mobiele telefoon is veel meer dan een kluis tegenwoordig. Het is een verzameling persoonlijke data waar de Stasi (die beruchte Oost-Duitse dienst uit de tijd dat kluizen zo populair waren) jaloers op zou zijn geworden - zeker in combinatie met 'spyware' van facebook, Google en al die andere 'gratis' diensten.

Geen telefoon of niet meer aanraken na arrestatie is dus het devies in de VS.
Dat is ook zo fout aan het "moderne" alles op een telefoon willen doen idee.
Dus telefoon als telefoon gebruiken a la, maar het is geen bank kantoor, etc. etc.
Logisch, misschien. Wenselijk, nee. Legaal? Waarschijnlijk niet.

Ik kan me zo voorstellen dat het gebruik van dit soort apparaten illegaal is – computervredebreuk gaat weliswaar niet op vanwege het gerechtelijk bevel, maar dit apparaat vereist medewerking van de gebruiker, die daar niet van op de hoogte wordt gesteld, en dat is op zijn minst donkergrijs gebied, wettelijk gezien.

Punt is dan dat de politiemacht binnen de lijntjes van de wet moet opereren. Granted, die lijntjes liggen anders dan voor de gemiddelde burger, maar toch. Op het moment dat ze dan dus een illegale tool gebruiken om aan hun bewijsmateriaal te komen, is dat bewijsmateriaal dus óók illegaal en in de rechtszaal waardeloos.

Als dit ding nu alleen maar zou brute-forcen, dan zie ik geen probleem – het is het boobytrappen van de telefoon wat bedenkelijk is.
Nu heel veel mensen een iPhone X en nieuwer hebben met FaceID en/of sinds de iPhone 6(?) gebruik maken van TouchID is dit nog relevant??

Ik voer echt amper nog mijn pincode in op de telefoon, ik gebruik de Touch ID en klaar. Lijkt me niet dat (een hoop) criminelen (en normale mensen) nog met 5-6 jaar oude telefoons rondlopen?
Dan kun je net zo goed je pincode op je voorhoofd schrijven want het enige wat er nodig is bij biometrische identificatie is de biometrie van een al dan wel of niet bewusteloze persoon. Je vingerafdrukken en iris zitten toch echt aan de buitenkant van je lichaam.
Hoog tijd dat Apple via een heel ander bedrijf die apparaten eens koopt bij ‘Grayshift’ om de boel eens te reverse-engineeren en de nek om te draaien.
Dat zou wel eens lastig kunnen zijn, dergelijke apparaten zouden eigenlijk alleen aan overheidsinstanties verkocht mogen worden. Je zou als particulier wel aan een hoop eisen moeten voldoen om zoiets uberhaubt te kunnen kopen. Daarnaast zal er in de verkoop overeenkomt vast een non-disclosure richting apple staan.
Daarnaast is het dan nog steeds mogelijk dat Grayshift erg snel weer een nieuwe op de markt brengt en dat dit snel erg duur wordt voor apple.
precies dit. Ik ga er ook beetje vanuit dat ze op een redelijk berg aan exploits zitten dat een update voor ze niet uitgesloten is. Zie ook hoe dat liep met usb restricted mode.

Het laat maar weer es zien hoe belangrijk een bug bounty programma is, en NIET aanvallen van een bedrijf wat zo actief white-hat hackers helpt.... maar om de een of andere reden doet apple dat toch 8)7

[Reactie gewijzigd door jabwd op 19 mei 2020 13:19]

Dan neem je contact op met een overheid in een heel klein landje om het voor je te kopen. Opgelost. ;)
Precies een instantie als AIVD, GRU, MI5, MI6, CIA, FBI, Moeghabarat, revolutionaire garde, 國家安全部 (Zhong Chan Er Bu, china) etc.
Een bedrijf als Grayshift baalt er vast al genoeg van dat ze niet aan iedereen mogen verkopen zonder dat er gevolgen zijn, zoals aan criminelen. Dan gaan ze niet te kritisch kijken naar de overheden waar ze zaken mee doen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True