Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Politie VS installeert iPhone-spyware om toegangscode van verdachten te leren'

De Amerikaanse politie zou spyware op iPhones van verdachten installeren, om zo de toegangscode te ontfutselen. Daarna zouden agenten de telefoon van de verdachte kunnen ontgrendelen en toegang hebben tot de data. Critici noemen de spyware onwettelijk.

De Amerikaanse politie werkt volgens NBC News met de Hide UI-software, die werkt als een soort keylogger. De politie zou de telefoon van de verdachte aansluiten op het GrayKey-apparaat van ontwikkelaar Grayshift, die de software installeert. Daarna zou de politie de telefoon weer overhandigen aan de verdachte en hem verleiden deze te gebruiken. Ze zouden de verdachten bijvoorbeeld vertellen dat hij zijn advocaat mag bellen, of dat hij telefoonnummers van zijn iPhone mag verwijderen. Hierdoor voert de verdachte zijn toegangscode in, die door Hide UI wordt opgepikt.

Volgens twee ingewijden zou de software ook de vliegtuigmodus uitschakelen en het wissen van alle data onmogelijk maken. Wanneer de politie de telefoon weer aan de GrayKey koppelt, krijgen agenten de ingevoerde toegangscodes in onbeveiligde vorm te zien. Autoriteiten zouden de software alleen gebruiken als bruteforcepogingen niet werken. Voor die bruteforcepogingen gebruiken ze ook het GrayKey-apparaat, zoals de FBI eerder dit jaar voor een iPhone 11 Pro Max gebruikte. Bij codes die acht tekens of langer zijn zou het weken tot een jaar kunnen duren om deze te bruteforcen. In deze omstandigheden zou Hide UI een snellere manier zijn om toegang te krijgen tot de data op de telefoon.

De politiediensten zouden de software alleen gebruiken als ze een gerechtelijk bevel hebben om de telefoon te mogen onderzoeken. Toch is het gebruik van de software omstreden. Zo schrijft een advocaat dat het niet duidelijk omschrijven van hun handelingen om informatie te ontfutselen, in strijd is met de grondwet. Daarnaast betwijfelt hij dat diensten geen misbruik maken van de software.

Volgens de adjunct-directeur surveillance en cyberbeveiliging aan de Stanford Law School's Center for Internet and Society moet er in het gerechtelijk bevel ook precies staan waar de politiediensten allemaal gebruik van mogen maken. De rechters die deze bevelen afgeven, zouden volgens de adjunct-directeur waarschijnlijk niet verwachten dat de politiediensten deze voor malware zouden gebruiken. Daarmee is het gebruik van Hide UI mogelijk niet toegestaan via een gerechtelijk bevel.

Burgerrechtenbewegingen zouden daarnaast vrezen dat het gebruik van deze software er juist toe leidt dat officiers van justitie zaken niet voor laten komen bij de rechter. Dan zouden ze het gebruik van de software namelijk toe moeten geven, terwijl ze nu juist non-disclosure agreements gebruiken om Hide UI geheim te houden. Hoe de software precies werkt en hoeveel diensten er gebruik van maken, is niet duidelijk. Noch Apple, de Amerikaanse overheid of Grayshift wilde het bestaan van Hide UI bevestigen.

GrayKey

Door Hayte Hugo

Nieuwsposter

19-05-2020 • 11:21

187 Linkedin

Submitter: x86dev

Reacties (187)

Wijzig sortering
Is de GreyKey hack niet al onmogelijk gemaakt in 2018 door het een en ander dicht te zetten?
https://www.onemorething....y-hack-iphone-onmogelijk/
Volgens een ander Tweakers artikel kan 't weer:
Apple had de werking van GrayKey en soortgelijke tools naar eigen zeggen onmogelijk gemaakt, maar kennelijk is het leveranciers gelukt om de tools weer te laten functioneren.
Vast wel, maar dit zal niet iedere crimineel beheersen.
Dat is natuurlijk een eeuwig durende strijd. Men gaat op zoek naar gaten in de beveiliging om deze te misbruiken, maar Apple gaat ook op zoek naar diezelfde gaten en zal ze dan vroeg of laat ook oplossen. Dan moet je op zoek naar de volgende exploit.
Lijkt me niet relevant. Met fysieke toegang is het vrijwel altijd mogelijk om een apparaat binnen te dringen, tenzij deze volledig versleuteld is en weigert op te starten, maar ook dan hoeft er maar één chip te zijn die vatbaar is voor een paar bytes aan uitvoerbaar geheugen.
Tja als ik het zo lees is de beveiliging toch opgetrokken want bij mijn weten had GreyKey geen medewerking nodig van de eigenaar van het toestel wat dus nu wel het geval is. Als de gebruiker de code niet invoert kan men blijkbaar niet in het toestel.
Hoe installeer je spyware op een iphone als je de toegangscode niet hebt?
De politie zou de telefoon van de verdachte aansluiten op het GrayKey-apparaat van ontwikkelaar Grayshift, die de software installeert. Daarna zou de politie de telefoon weer overhandigen aan de verdachte en hem verleiden deze te gebruiken.
Dus je moet als crimineel of verdachte je telefoon inleveren, je krijgt hem terug met één of ander vaag apparaat er aan, en je zegt dan: okee, ik ga mijn telefoon wel gebruiken en mijn advocaat bellen.

Zo zal het niet werken neem ik aan?

[Reactie gewijzigd door Stromboli op 19 mei 2020 11:26]

Zero-days. Er is een rede waarom een zero-day bug een paar ton miljoen oplevert op de grijze markt.

Edit.
https://zerodium.com/program.html
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.

Edit 2.
Goed om bijvoorbeeld de documentatie van Vera Crypt door te lezen. Die leggen duidelijk uit dat elke vorm van full-disk encryption nutteloos is op het moment dat de device in handen is geweest van een aanvaller: https://www.veracrypt.fr/...%20and%20Precautions.html

Je zou namelijk een hardware keylogger of een bios rootkit kunnen gebruiken om de master-key te ontfutselen. Dit laatste is waarschijnlijk wat er gebeurd met de GreyKey.

Daarnaast, weet waar jij je telefoon unlockt. Een minder technische aanval is bijvoorbeeld het gebruik van CCTV camera's, of camera's in de wachtruimten van politie bureaus, om pincodes te achterhalen.

Edit 3.
Zit nu trouwens te denken... Zou het erg ingewikkeld zijn om een soort van flinterdun velletje over de iphone te plakken, die de toetsaanslagen opneemt om deze naar een basisstation van de aanvaller te versturen? Dit zou, mits goed ontworpen, niet te onderscheiden zijn van een screen protector. Bluetooth LE, klein transparant chipje... Dus, wie is me voor bij het octrooi kantoor?

[Reactie gewijzigd door Eonfge op 19 mei 2020 11:49]

Zero-days. Er is een rede waarom een zero-day bug een paar ton miljoen oplevert op de grijze markt.

Edit.
https://zerodium.com/program.html
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.
Toevallig laatst nog een nieuwsbericht gelezen over zerodium die dus geen 2 miljoen dollar meer gaat betalen, omdat er teveel bugs zijn op dit moment. Als je de tweet van zerodium leest staat er dat ze zelfs gaan stoppen tijdelijk met het uitbetalen voor bugs. De CEO van Zerodium tweet letterlijk dat iOS op dit moment fucked is en dat hij hoopt dat iOS14 veel beter zal worden.
Een zero-click full system compromise van iOS is 2 miljoen dollar waard.
Als dat GrayKey-apparaat op zo'n waardevolle zero-day bug is gebaseerd, zou dan niet vroeg of laat een medewerker van de fabrikant, of iemand anders die toegang heeft tot zo'n apparaat zoals een politiemedewerker, het apparaat naar Apple brengen (of Apple inlichten over de bug) en een grote beloning claimen?

[Reactie gewijzigd door jj71 op 19 mei 2020 13:42]

Niet als de gebruiks/licentievoorwaarden van dat apparaat stellen dat je dat niet mag doen, op straf van een fikse schadevergoeding en opoffering van je eerst(volgende)geborene. ;)

[Reactie gewijzigd door The Zep Man op 19 mei 2020 14:00]

In Europa mogen ze je dan opsluiten totdat je hun de codes verstrekt. Een kat-en-muis spel met een crimineel vind ik dan wel eerlijker dan een geweer tegen je kop.
Ja en is niks goeds aan, ze mogen dus iemand zo maar opsluiten omdat je niet je code geeft van je Smartphone of andere apparaat, dat is walgelijk, dus jij ben er mee eens dat je vrijheid afgenomen woord als je niet wil mee werken aan je eigen veroordeling?! Dat is wat dit is dat je je wachtwoord moet geven anders ga je de gevangenis in.
Weet niet in welke wereld jij leeft maar eh 'onschuldig tot bewezen is ?'
Vertel dat eens aan de belastingdienst om maar eens een mooi voorbeeld te noemen.
Of iemand die met een geclonede kentekenplaat van jou boetes rijd, eens kijken hoe jouw stelregel zich dan ontvouwd.

Door af te tappen werk je niet mee aan een eigen veroordeling.
Overigens doen ze dit echt niet bij iedereen. Denk je echt dat iedere Sheriff een Graymachine heeft staan ??

Overigens staat er duidelijk bij:
De politiediensten zouden de software alleen gebruiken als ze een gerechtelijk bevel hebben om de telefoon te mogen onderzoeken.
kortom, dat gebeurt niet bij iedere kruimeldief en ook daar is een heel proces voor nodig.
Een ieder tegen wie een vervolging is ingesteld, wordt voor onschuldig gehouden totdat zijn schuld in rechte is komen vast te staan, beter bekend als; onschuldig tot het tegendeel bewezen is. Onschuldpresumptie heet dat, en staat in de grondwet.

Meer info
Ja, de grondwet ... Klopt.

Nu de praktijk, en zoals ik al zei, zeg dat eens tegen de belastingsdienst.

https://blog.jaeger.nl/nl...trijd-onschuldpresumptie/
nee dat heet een digitizer en dat zit al voor je schermpje.
De controller is dan weer lastiger te verbergen, maar een telefoon hoesje kan het een en ander verbergen....

[Reactie gewijzigd door tweaknico op 19 mei 2020 16:28]

Een idee kan je geen octrooi op aanvragen ;)
Bij je arrestatie wordt je telefoon gewoon afgenomen. Vervolgens kunnen ze ermee doen wat ze willen, daarna krijg je hem terug in de verhoorkamer om te bellen, meteen daarna verdwijnt hij weer.
Bij je arrestatie wordt je telefoon gewoon afgenomen. Vervolgens kunnen ze ermee doen wat ze willen, daarna krijg je hem terug in de verhoorkamer om te bellen, meteen daarna verdwijnt hij weer.
Een oplossing is twee PIN codes toestaan:
  • Reguliere code: unlockt zoals je nu verwacht.
  • Alternatieve code: hetzelfde als reguliere code, maar gooit op de achtergrond kritiek sleutelmateriaal en vooraf aangemerkte informatie weg, die niet meer zichtbaar is na de unlock.
Hetzelfde kan je doen met bijvoorbeeld vingerafdrukken.

Het simpele alternatief is je toestel niet meer gebruiken zodra het van je is afgenomen.

[Reactie gewijzigd door The Zep Man op 19 mei 2020 14:00]

Alternatieve code: hetzelfde als reguliere code, maar gooit op de achtergrond kritiek sleutelmateriaal en vooraf aangemerkte informatie weg, die niet meer zichtbaar is na de unlock.
Uit het artikel:
Volgens twee ingewijden zou de software ook de vliegtuigmodus uitschakelen en het wissen van alle data onmogelijk maken
Als dit klopt gaat die manier van alternatieve code niet werken. Misschien een code die eenmalig werkt of beperktere functies heeft (gast-account), zoals alleen kunnen bellen/sms'en.
Als dit klopt gaat die manier van alternatieve code niet werken.
De 'spyware' heeft enkel toegang tot de software, niet het secure element. Het secure element kan alsnog kritiek sleutelmateriaal wissen bij het opgeven van een verkeerde PIN code.

Dit is natuurlijk in de aanname dat de PIN daadwerkelijk het secure element bereikt. Maar goed... Een foute PIN opgeven die daarna door de Politie 'voor het echt' wordt ingevuld die daarna alsnog het sleutelmateriaal wist werkt ook. :P
Ik zou de iPhone verkopen, en een nieuwe aanschaffen van het geld wat je hebt ontvangen.
Laat de politie maar de nieuwe eigenaar traceren. Of krijg je ook een formulier meegeleverd dat je niet mag verkopen etc.

En ik zou dan zo'n wegwerp telefoon aanschaffen of niet de data delen over de telefoon.

[Reactie gewijzigd door theduke1989 op 19 mei 2020 11:30]

Ik denk dat je de telefoon gewoon in de verhoorkamer krijgt en dus niet mee mag nemen, laat staan verkopen/een nieuwe kopen...

[Reactie gewijzigd door watercoolertje op 19 mei 2020 11:44]

Conclusie als je telefoon als verdacht in beslag genomen is raak je hem dus nooit meer aan. Tenzij je weet dat er niets belastends op staat.
Mocht je hem ooit terug krijgen dan zou je de info die belangrijk is er af kunnen halen en dan tel vernietigen.
Inderdaad. Je kan een zogenaamde burner phone gebruiken - die eenmalig of slechts aantal malen gebruikt wordt.
Mja goed maar als je niet meewerkt en er is geen ander bewijs om je aan te houden zal men je op een gegeven moment moeten vrij laten. Ik ga er vanuit dat de politie dan alsnog zal proberen om in het toestel te geraken door het mee te geven en je even later terug op te pakken
Nja dan heel simpel, graaf een gat, gooi hem erin met het doosje. Maak de gat dicht.
En maak een wandeling naar je advocaat of iets. Genoeg manieren.

Ik zou dit nooit accepteren of ik nou verdacht ben of niet. En dan maar zeuren over hoe CHINA er mee aan toe gaat. dit is niet beter
Volgens mij zit de telefoon alleen aan dat apparaat aangesloten om de software te installeren.
Dat denk ik ook.
-Je wordt aangehouden en moet op het bureau je zakken leeg maken.
-Je telefoon gaat aan de graykey die er hideui op zet.
-Daarna mag je je telefoon even terug om je advocaat te bellen.
-Als je dat gedaan hebt moet je je telefoon weer inleveren.
-Dan gaat de telefoon weer aan de graykey om je wachtwoord er af te halen.
-Daarna mag je je telefoon even terug om je advocaat te bellen.
Daar zou ik toch echt nattigheid gaan voelen, wat zijn dat voor rare praktijken...

De gemiddelde smartphone kan je van alles mee doen van het wipen van externe computers tot het wipen van je smartphone zelf etc etc etc om maar bewijs te vernietigen.
Maar je zou hem even terugkrijgen omdat hij zo lekker in de hand ligt bij het bellen oid? En een andere hoorn daar kan je maar niet aan wennen?
Ik denk niet dat de telefoon er nog aan hangt als de verdachte het terugkrijgt...
Met fysieke toegang is veel mogelijk.
Er hoeft maar een non-discoles security lek in de iPhone aansluiting te zitten waar de software misbruik van maakt.
Ik denk met name als de iPhone achterloopt met iOS updates, want sinds 11.4.1 is USB Restricted Mode ingebouwd en standaard ingeschakeld. Zonder dat kan een USB apparaat het lockscreen omzeilen.
En wat nou als je met touch-id of face-id je iPhone ontgrendeld? Dan kunnen ze geen toegangscode ontfutselen.
Politie is (in NL, maar vast ook daar) gerechtigd om foto's van jou te maken en jouw vingerafdrukken te nemen, zelfs als je daar tegen bent. Je kunt je daarvoor niet beroepen op schending van privacy, onwettelijkheid, etc.
Als jij dus jouw telefoon met jouw vingerafdruk of gezicht unlocked, dan mag de politie dat ook proberen omdat het in wezen niet verschilt van jouw vingerafdruk nemen of een foto van je maken; beide mogen.
Ze kunnen je echter niet dwingen om je pincode af te geven. Daarom proberen ze op deze manier achter de pincode van de verdachte te komen. Ik neem aan dat ze het 'verkopen' dat de verdachte zelf zijn pincode heeft ingetikt en niet gedwongen werd deze af te geven. Wat in feite ook zo is.
Maar een smerige truuk is het wel....
Ik vraag me af of dit in NL stand zou houden.

Want het zeggen : bel je advocaat met je eigen mobiel en dan het niet mogelijk maken om een vaste lijn of telefoon van de politie te gebruiken lijkt me wel een makkelijke manier om te laten zien dat het nou niet echt redelijk is.

Maar dit is wel speculatie want ze kunnen in principe ook zeggen : Je kunt je advocaat bellen wij kunnen een telefoon voor gebruik leveren maar je mag ook je eigen telefoon gebruiken en dan is het enigzins je eigen schuld.

‘..een verdachte die door de politie is aangehouden, aan artikel 6 EVRM (een Europees verdrag) een aanspraak op rechtsbijstand kan ontlenen die inhoudt dat hem de gelegenheid wordt geboden om voorafgaand aan het verhoor door de politie aangaande zijn betrokkenheid bij een strafbaar feit een advocaat te raadplegen.

https://www.judex.nl/rech...te-recht-op-een-advocaat/

Hebben we hier een persoon met een rechten opleiding die het antwoord heeft? ( nu ben ik wel heel nieuwsgierig)

[Reactie gewijzigd door Zyphlan op 19 mei 2020 12:24]

In Nederland heb je géén recht op een telefoontje. Je hebt recht op overleg met je advocaat, en die zal dus gebeld moeten worden maar dat kan ook doordat jij zegt hoe die heet en de politie de advocaat belt.

Ik denk dat het wel mag, mensen hun telefoon teruggeven zonder te zeggen dat je er spyware op gezet hebt. Maar ik zou dan zeggen dat mijn advocaat daar niet instaat en dat ik zijn nummer niet weet.
Was dat ook een iPhone? Die maken een 3D-scan, wat vanaf een schermpje/foto niet werkt. Ik weet dat mijn Nokia7+ ook een gezichtsherkenning heeft gehad (is er in A10 uit gehaald, lijkt het) maar omdat die geen dieptescan doet pakt die inderdaad wel gewoon een pasfoto. Zal gelijk de reden zijn dat het eruit gehaald is, vermoed ik.
iPhone heeft een IR projector die gigantisch veel dots projecteert:

https://www.youtube.com/watch?v=g4m6StzUcOw
Omdat dit werkt met een foto, en niet zoals een Kinect met een IR raster om een 3D scan van je gezicht te maken, waarbij je ogen ook open moeten zijn.

Android werkt pas sinds kort met echte gezicht unlock.
Best knap, een 3D foto maken.

Apple's FaceID werkt door een 3D-scan van een gezicht te maken. Dat gaat 'm niet worden met een foto..
Dan ben je de eerste die APples FaceID fopt met een Foto. Ik zou NYT bellen want je hebt een primeur.
Dan houden ze hem voor je gezicht en is hij ook ontgrendeld.
Ogen dicht en opgelost.
Dat mogen ze dus wel bij je afdwingen net als je vingerafdruk...
Niet waar. Je vingerafdruk mogen ze wel registreren in hun computer, maar niet gebruiken voor het ontgrendelen van een telefoon. Je hoeft namelijk niet mee te werken aan je eigen veroordeling
Welles, dat afnemen voor ontgrendelen valt onder diezelfde bevoegdheid en dat is géén schending van het recht niet tegen jezelf te hoeven getuigen. Dat laatste betreft alleen wat jij weet, niet wat je bent of hebt. Een pincode is dus hoe dan ook slimmer in dit verband dan welke biometrie ook.
Gewoon naar je telefoon roepen “Hey siri, van wie is deze telefoon?”. Wordt FaceID meteen uitgeschakeld. Of dat ook met TouchID zo is weet ik niet.
TouchID is dan wel een dingetje, dan moeten ze 'm tegen je vinger aan dwingen. Da's makkelijker dan je dwingen je ogen open te doen denk ik.
Tuurlijk niet, bij elke pijn trigger schieten je ogen automatisch open. "gewoon een vriendelijk schouderklopje bij de verdachte, klaar)
En dat zit op de grens van mishandeling en dwang. Politie moet heel goed uitkijken wanneer zo iets doen want als de verdachte een goede advocaat heeft, kan dit nog wel eens heel wat speurwerk onbruikbaar maken.
Per ongeluk een punaise op de stoel laten liggen, "bedrijfsongevalletje", of gewoon de beste man zichzelf naar buiten laten wandelen, hij zal toch rven zn ogen open moeten doen om de deur te vinden... Genoeg manieren te bedenken. Desnoods verhit je de deurklink, hij is degene die hem vastpakt right

Ik geloof niet in goede advocaten in de usa, enkel dure advocaten. En de politie is daar ook al meermaals bewezen niet altijd de meest nette/vriendelijke

[Reactie gewijzigd door Unsocial Pixel op 19 mei 2020 12:39]

Met één oog dicht herkent ie bij mij ook niks, moet ze echt beiden open hebben en recht naar het scherm kijken. Opzij kijken oid. telt ook niet.
Er is altijd een code als backup als ik me niet vergis
Dat is correct. Voor zowel Touch-ID als Face-ID is het verplicht een toegangscode in te stellen. Stel dat je verminkt raakt, dan kan je zonder vinger of aangezicht nog steeds je persoonlijke data bereiken.
Hoe werkt dat eigenlijk? De vingerafdruk-scanner, is dat een chip die je pincode weet?

Kan de FBI die chip en vingerafdruk "voeren" omdat ze alle vingerafdrukken van iedereen heeft?
Hangt van de scanner af. Optische scanners zijn relatief makkelijk - dat hebben de Mythbusters aan den lijve ondervonden toen ze erachter kwamen dat zelfs een redelijke fotokopie van een vingerafdruk vrolijk herkend werd, maar andere scanners zijn wellicht moeilijker. Een capacitieve scanner zal bijvoorbeeld al niet werken met een droog papiertje, omdat dat niet-geleidend is. Daar zijn ook wel weer oplossingen voor, maar dat wordt alweer veel lastiger.

Wat de werking betreft, dat zal gewoon een koppeling zijn - de vingerafdrukscanner vergelijkt de aangeboden vinger met diegenen die eerder zijn ingesteld, en spuugt vervolgens een "ja" of "nee" uit. De telefoon zal dus óf die code, óf de scanner accepteren als ontgrendeling, ik denk niet dat de scanner die code "weet".
Dat is een kwestie van de telefoon een keer opnieuw starten. Daarna wordt altijd de code eenmalig afgedwongen voordat FaceID of TouchID weer werkt.
Dat hoeft niet eens. Zodra je in op het scherm komt waarmee je je telefoon kan afsluiten, is vervolgens een pincode nodig! Het afdwingen van de pincode is dus maar een seconde of 2 werk.
Als de telefoon een tijd niet gebruikt is geweest, of uit is geweest, dan moet je juist je code invoeren om biometrische authenticatie te laten werken. Dit is juist vanuit het idee dat iemand dan niet zomaar je gezicht of vingerafdruk kan gebruiken om bij je data te komen. Een sterke code is in die zin altijd nog beter dan biometrische gegevens. Dat blijkt juist uit dit hele verhaal: hoeveel moeite men doet om uiteindelijk toch te proberen iemand zijn eigen code te laten intikken.
Vroeg of laat voer je toch een keer je code in. Als die net is opgestart of als die door omstandigheden je vinger/gezicht niet kan herkennen.
Waarschijnlijk zetten ze je telefoon eerst uit waardoor je je code wel in moet voeren wil je ontgrendelen.
Dus als je telefoon in handen is geweest van rechercheurs, gewoonweg een aantal keren verkeerd je pincode invoeren en zorgen dat ie zichzelf wist. (op voorhand instellen in de instellingen) Dan valt er niets meer te vinden. Vanaf heden mag je er dus altijd vanuit gaan dat men aan het rotzooien is geweest met je telefoon.
Als je het artikel leest, dan zie je dat die tool dat dus onmogelijk maakt. Je kan je telefoon niet meer wissen.
Of de icloud backup vragen aan Apple.
Dit is wat ik daarover kan vinden als je zoekt op icloud backup encryption:
“Unlike the physical device, Apple holds encryption keys to this data. If ordered by courts, it can decrypt and provide copies of those backups to law enforcement.”

Jouw twee zinnen zijn waar, maar staan los van elkaar.
1. Om de icloud backup te encrypten is een password nodig: alleen Apple heeft die key. Dus dat is makkelijk.
2. Pincodes van telefoons zijn meestal korter: Dat geloof ik.

Mijn punt is:
Je data op je eigen telefoon en in je eigen backup is veilig; maar je data in de icloud-backup is dat niet. Als het bevoegd gezag die backup opvraagt, dan wordt dat gegeven.
Als gevraagd wordt de telefoon te unlocken dan wordt dat niet gedaan.
Ik heb op zich niet per definitie problemen met het installeren van spyware, is wat mij betreft een betere oplossing dan het verbieden van encryptie en het verplicht moeten meewerken aan je eigen veroordeling. Hierbij raak je in ieder geval in theorie alleen de mensen waarvan al een sterke verdenking is. Even buiten beschouwing gelaten wat die spyware kan doen als het in andere handen valt. Een politie pistool kan ook in verkeerde handen vallen, dat staan we ook toe.

Maar zoals gebruikelijk gaan ze in de US wel weer een stap verder. Dit neigt naar uitlokking om mee te werken aan je eigen veroordeling. Vooral als er al wat hints worden gegeven wat je er mee kunt doen...
slippery slope. Ik heb hier wel problemen mee. Wie houdt er toezicht op de installatie van de malware? Waarom zou men niet beginnen van bij iedereen die malware systematisch te installeren? Wat gebeurd er met de verzamelde data als het onderzoek gesloten wordt?
De vraag is of wat Grayshift doet als ontwikkel wel legaal is.
Het lijkt erop van niet.
Dit soort software kan dus ook door criminelen gebruikt worden ipv overheidsdiensten.
Verder is het nu duidelijk geworden dat criminelen nooit hun eigen telefoon moeten gaan gebruiken als deze tijdelijk “uit het zicht” is geweest.
Mochten ze dan toch moeten en mogen bellen is een simpele smartphone van een paar tientje voldoende.
De vraag is of wat Grayshift doet als ontwikkel wel legaal is.
Het lijkt erop van niet.
Dit soort software kan dus ook door criminelen gebruikt worden ipv overheidsdiensten.
Waarom is het niet legaal? :)
Het doel van deze software is om iets achter de rug van de gebruiker om te doen.
Waarom zou je als gebruiker van je EIGEN telefoon een keylogger willen installeren?
Beetje merkwaardig.
Ik vraag me dus serieus af waar deze ontwikkelaar mee bezig is.
Ik zie niet in hoe het achter elkaar zetten van heel veel enen en nullen illegaal kan zijn. Het verkopen / gebruiken is een ander verhaal. Vandaar dat ze het dus alleen aan overheden verkopen. :)
Maar er is verder niks illegaals aan het schrijven van een keylogger hoor. ;)
Het feit dat ze het alleen aan overheden verkopen moet je toch wel aan het denken zetten toch?
Ik vind dit nogal merkwaardig.
Als ik software ontwikkelaar was zou ik hieraan niet mee willen werken.
Zou het mij niet interesseren zou ik wel als software ontwikkelaar bij de overheid gaan werken.
Vraag me ook af of rechter de genoemde werkwijze toelaatbaar vinden.
Er zitten grote risico’s aan ook al vertrouw je de overheid, dergelijke software kan ook in verkeerde handen vallen.
Ik zou hier zeker niet aan mee werken inderdaad. Ook zou ik hier mijn exploits niet verkopen, maar goed dat is makkelijk praten voor mij, want ik heb die kennis ook helemaal niet. :P
Stel dat je een Android of iOS RCE vind en daar 2,5 miljoen dollar voor kunt vangen, gooi je dan je principes over boord? Ik wel in ieder geval. :P

Rechters vinden dit prima toelaatbaar denk ik, want dit speelt al een jaar of 10 zeker. Er zijn best veel bedrijfjes die dit doen.
Voor geld is alles te koop.
Dat blijkt ook wel weer.
Ik vind dit schimmige bedrijfjes die zich hiermee bezig houden.
Toch werken er slimme gasten want je moet wel wat kennis in huis hebben om zo’n app te maken.
Jammer dat ze hun kennis niet inzetten voor nuttiger zaken maar dat is een algemeen probleem wat op allerlei gebieden speelt.
Iemand kan dit ook doen als je je toestel bent verloren, om het vervolgens terug te geven.
Tsja, een beetje crimineel is net iets slimmer dan de politie. En dus doet mijn smartphone na 3 verkeerde pincodes een factory-reset en is alles weg. Of ben ik nu erg simpel?
Ja. Punt met dit ding is nou juist dat niet alleen de pin-code niet ge-brute-forced wordt (dus geen verkeerde pogingen), en dat gelijk dat mechanisme dat de factory-reset uitvoert, om zeep wordt geholpen (uit het artikel: "Volgens twee ingewijden zou de software ook Airplane uitschakelen en het wissen van alle data onmogelijk maken."). Dus zelfs als jij dan zelf bewust meerdere verkeerde PINs invoert om de data te saboteren, werkt dat niet meer.

Zal dus wel een soort rootkit zijn die erop gezet wordt, ik zou anders niet weten hoe je dit kunt afdwingen.
Dat mensen hier zo verontwaardigd over zijn. De telefoon is gewoon de "kluis" van tegenwoordig.

Had je vroeger je belangrijkste zaken in een kluis liggen, staan deze nu op een telefoon. Moest men vroeger de kluis kraken (of "brute forcen") moet men nu de telefoon kraken. Het verschil is echter dat het kraken van een kluis aanzienlijk makkelijk gaat dan een telefoon vergrendeld met encryptie, etc. Het is dus logisch dat men dit soort dingen doet om achter de sleutel te komen en het kraken eenvoudiger te maken.

Als je niet wil dat ze belangrijke zaken op je telefoon ontdekken, moet je ze maar ergens anders bewaren. Hetzelfde dat men vroeger meerdere kluizen had en/of kostbare bezittingen simpelweg "verstopten"

Welkom in de 21e eeuw!
Die analogie klopt niet helemaal.

De telefoon encryptie brute forcen is hetzelfde als een kluis open breken.

Dit is meer iemand toestemming geven om zelf zijn kluis weer te gebruiken en dan stieken meekijken wat de code is.

Die code is met reden geheim en hoef je volgens de wet niet af te geven. Dan is het via spyware verkrijgen van die code dus ook vreemd en ongewenst.
Nu heel veel mensen een iPhone X en nieuwer hebben met FaceID en/of sinds de iPhone 6(?) gebruik maken van TouchID is dit nog relevant??

Ik voer echt amper nog mijn pincode in op de telefoon, ik gebruik de Touch ID en klaar. Lijkt me niet dat (een hoop) criminelen (en normale mensen) nog met 5-6 jaar oude telefoons rondlopen?
Dan kun je net zo goed je pincode op je voorhoofd schrijven want het enige wat er nodig is bij biometrische identificatie is de biometrie van een al dan wel of niet bewusteloze persoon. Je vingerafdrukken en iris zitten toch echt aan de buitenkant van je lichaam.
Hoog tijd dat Apple via een heel ander bedrijf die apparaten eens koopt bij ‘Grayshift’ om de boel eens te reverse-engineeren en de nek om te draaien.
precies dit. Ik ga er ook beetje vanuit dat ze op een redelijk berg aan exploits zitten dat een update voor ze niet uitgesloten is. Zie ook hoe dat liep met usb restricted mode.

Het laat maar weer es zien hoe belangrijk een bug bounty programma is, en NIET aanvallen van een bedrijf wat zo actief white-hat hackers helpt.... maar om de een of andere reden doet apple dat toch 8)7

[Reactie gewijzigd door jabwd op 19 mei 2020 13:19]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True