Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 104 reacties

De passcode die een iPhone moet beveiligen, is gemakkelijk te omzeilen en de privégegevens op het toestel blijken eenvoudig te achterhalen. Ook kunnen, als de simkaart niet apart is beveiligd, willekeurige nummers worden gebeld.

Een gebruiker van het forum van Macrumours ontdekte het lek. De hack werkt via de optie 'Emergency call', die in beeld staat als de iPhone om het invoeren van de passcode vraagt. Het lek legt diverse privégegevens bloot, zoals e-mails, sms-berichten en de gegevens van de contactpersonen.

Door in het Emergency Call-menu op de Home-knop te dubbelklikken, verschijnt het Favorites-menu. Via dat menu kan een sms aan een van de favorieten worden gestuurd, en als op Cancel wordt gedrukt, is vervolgens de lijst met ontvangen sms-berichten bereikbaar. Als er bijvoorbeeld een onbekend nummer, een url of een datum in een van de berichten staat, kan bovendien een nieuw contact worden toegevoegd. Dat contact kan gebeld worden. Daardoor kan iemand die een iPhone steelt, op kosten van de eigenaar telefoneren.

Met dezelfde hack kan ook gebrowsed worden. Als aan een van de favorieten een internetadres gekoppeld is, kan Safari geopend worden. Vervolgens kan er zonder enige restrictie op het internet worden gesurfd. Als er adresgegevens bij een favoriet staan, geldt hetzelfde voor het gebruik van Google Maps.

Als de simkaart van de iPhone met een aparte pincode is beveiligd, zijn alle functies die een verbinding met het netwerk vereisen, zoals bellen en berichten versturen, weer niet te gebruiken, en internetten kan dan alleen via een wifi-verbinding. De iPhone-hacker zal in dat geval alleen toegang hebben tot de privé-gegevens van de iPhone-bezitter en zijn contactpersonen.

De hack werkt op zowel de iPhone 3G als op de eerste versie van de Apple-smartphone. Bezitters van een iPhone kunnen hun toestel beter beveiligen door in te stellen dat dubbelklikken op de Home-knop niet automatisch naar het lijstje met favorieten leidt.

iPhone beveiliging
Moderatie-faq Wijzig weergave

Reacties (104)

Dit ruikt behoorlijk naar enige Apple bashing. De meeste "normale" mobiele telefoons zijn slechts beveiligd met een pin op de SIM kaart. Haal bijvoorbeeld bij een Nokia de sim kaart eruit, en je hebt direct toegang tot alle gegevens die in het geheugen van de telefoon staan: contact gegevens, notities enzovoorts. Maar daar hoor je niemand over...

En Microsoft heeft niet voor niets een mogelijkheid ingebakken in Windows Mobile en Exchange om gestolen of verloren Windows Mobile devices van afstand leeg te halen, zodat de nieuwe "eigenaar" niet met (belangrijke) gegevens op het apparaat aan de haal zou kunnen gaan.

Apple kennende zal er binnenkort overigens wel een fix verschijnen in één van de firmware releases die ervoor zorgt dat er geen misbruik gemaakt kan worden van de "Home" knop en de "Emergency Call" optie. In mijn ogen is dat vrij simpel te doen:

1. Laat de gebruiker in de contactenlijst een aantal personen (of nummers) selecteren die gebeld kunnen worden indien er iets ernstigs gebeurt met de gebruiker, en zorg ervoor dat alleen die personen kunnen worden gebeld als op de "Emergency Call" knop wordt gedrukt. Daarnaast is het in dit scherm niet mogelijk om Mail, Google Maps en Safari op te starten.

2. Schakel de functionaliteit van de Home knop uit. Als er in het pincode scherm op de "Home" knop wordt gedrukt gebeurt er dus niks. De Home knop wordt pas geactiveerd als een geldige pincode wordt ingetoetst en de gebruiker het Dashboard te zien krijgt.

Trouwens wel een beetje vreemd dat ze hier niet zelf op zijn gekomen bij het schrijven van de firmware... misschien heeft dat wel enigzins te maken dat men zodanig onder tijdsdruk stond in Cupertino voor de release van de iPhone dat ze geen tijd hadden om bepaalde zaken op een goede manier uit te kunnen werken zoals je van Apple mag verwachten.
Alle "normale" telefoons die ik heb (gehad) hebben zowel een sim pin als een telefoon pin. Bij bijvoorbeeld SE telefoons kan je de telefoon pin uitlezen met behulp van een data kabel, maar dat is lang niet altijd mogelijk. Wat je beweerd is dus onjuist. Noem mij anders eens een telefoon op die geen telefoon pin heeft.
Ja, ik weet van de telefoon pin af; maar ik heb ook enigzins het idee dat deze in de praktijk slechts door een handjevol mensen wordt gebruikt. De meeste mensen a la Joe en Jane User weten waarschijnlijk slechts alleen dat ze hun telefoon (lees: SIM kaart) kunnen beveiligen met een PIN code, en hoe de contactenlijst werkt en eventueel hoe men muziek kan afspelen op de telefoon. De manier waarop de meeste telefoons vervolgens starten, namelijk de vraag van de PIN code van de SIM kaart, geeft vervolgens het idee dat de telefoon afdoende is beveiligd maar dat is op dat moment dus zeker niet het geval. Het eruit trekken van de SIM kaart is dus vervolgens het enige wat nodig is om deze "beveiliging" te doorbreken.

Uiteraard staat er in de handleidingen prima uitgelegd hoe een telefoon extra beveiligd kan worden, maar ik ken in de praktijk vrijwel niemand die de gehele handleiding van een mobiele telefoon van de eerste pagina tot de laatste pagina leest. Daarnaast vindt men al die beveiliging maar gewoon lastig (waarom denk je dat computers en netwerkapparatuur over het algemeen zo slecht beveiligd zijn?) en in de weg zitten, en is zelfs het onthouden van de PIN van de SIM kaart al lastig zat dus die tweede code zal de meeste Joe en Jane Users een worst zijn.

Kortom: al met al is het verwijderen van de SIM kaart bij de meeste "normale" telefoons dus genoeg om de "beveiliging" van de telefoon teniet te doen :p

[Reactie gewijzigd door mindcrash op 27 augustus 2008 19:03]

slordig van apple maar toch wat kanttekeningen. ten eerste is dit gelukkig niet een remote security exploit. de eventuele misbruiker moet fysiek toegang hebben tot de iphone. dit beperkt de ernst van het probleem natuurlijk al in hoge mate. immers een mobiele telefoon draag je normaal gesproken bij je en verlies je niet snel uit het oog.

daarnaast treedt het probleem alleen maar op als je een pin code ingesteld hebt voor je iphone. ik zelf heb bijvoorbeeld geen pin code ingesteld. ik vind het risco van verlies/diefstal en de eventuele impact op mijn privacy daardoor aanvaardbaar. verder is dit soort beveiliging van willekeurige welke gadget natuurlijk een beetje een farce omdat iemand altijd de firmware opnieuw kan flashen.

apple zal in de volgende release van de software dit probleem eenvoudig kunnen fixen. tot die tijd biedt de hier volgend beschreven workaround uitkomst.

workaround:

stel het dubbelklikken van de home button zo in dat ipv de phone favorieten lijst het ipod scherm geopend wordt. dit kun je doen in : settings/general/home button/ en vink daar ipod aan.

als een dief nu probeert de exploit (het truukje zeg maar) te gebruiken zal hij in het ipod menu terechtkomen ipv je wellicht privacy gevoelige phone favorieten lijst.

zelf vind ik dubbelklikken-naar-ipod bovendien heel praktisch omdat je dan ook de ipod controls ten alle tijde met een dubbelklik te voorschijn kunt toveren. hiervoor moet je wel de optie settings/general/home button/ipod controls/ ook nog even aanzetten.

ik had dubbelklik altijd al op ipod ingesteld omdat het handig is maar voor privacy-concious mensen heeft het dus ook voordelen.
de eventuele misbruiker moet fysiek toegang hebben tot de iphone.
Dat maakt niks uit, de beveiliging met de passcode is ook enkel tegen fysieke bediening van het toestel, het heeft geen andere functie. En die is dus compleet te omzeilen. Dat maakt het mogelijke "gevaar" dus niet meer of minder.
daarnaast treedt het probleem alleen maar op als je een pin code ingesteld hebt voor je iphone.
No shit Sherlock! ;) Om een beveiliging te omzeilen moet er inderdaad wel een beveiliging aanwezig zijn...
Juridisch gezien niet. Als je kenbaar maakt dat je ergens niet gewenst bent wordt dat ook als beveiliging gezien. Idee van een beveiliging is namelijk dat je iets hebt wat voorkomt dat iemand iets kan doen. Iemand zeggen dat hij iets niet mag voorkomt dat niet en moet je dan ook niet zien als beveiliging. Het "no shit sherlock" deel is dus niet geheel terecht ;)
klopt toont maar weer aan dat het een storm in een glas water is.
Heb je liever dat zoiets hier niet komt te staan en dat morgen iemand jouw iphone steelt en voor enkele honderden euros opbelt?
Als je vertrouwen stelt in bv. de pincode op je Nokia telefoon (die overigens alleen gevraagd wordt als je 'm aanzet; en m'n telefoon staat bijna altijd aan..), ben je ook redelijk naief, want met een datakabel heb je dat er, net als de simlock, ook in ongeveer drie seconden af.

Dus als je telefoon gejat wordt moet je zo snel mogelijk je simkaart laten blokkeren. Dat is niet echt nieuws.

Maar slordig van Apple dat het volledig softwarematig kan, daar niet van.
Heb je het nu over de pincode of beveiligingscode :? Er zit namelijk een wezenlijk verschil tussen deze 2 code's.
Bij mijn weten kun je alleen de beveiligingscode uitlezen (bij Nokia telefoons).
Pincode is inderdaad niet uit te lezen. Alleen het computertje in de SIM kaart weer die. En die geeft alleen terug of de gegeven code correct is of niet. Pas daarna worden relevante codes vrijgegeven die nodig zijn om contact te maken met het netwerk.

Dat klopt ook niet in het bericht van BreezahBoy. Als er een pincode ingesteld is kan er niet gebeld worden met het toestel (mits deze uit geweest is natuurlijk). Als er geen pincode ingesteld is kan er gewoon mee gebeld worden.

Geen pincode is soweiso dom. Wie zegt dat je het meteen door hebt dat je telefoon gejat is? Je kan de SIM nu gewoon in een ander toestel doen en gratis bellen...als je een pincode instelt kan dat niet.
een pincode is niet per definitie gelijk aan de sim code. een 4-cijferige code noem ik pincode.

je hebt op de iphone eigenlijk twee pincodes:

eentje als toegangscode tot je iphone
eentje als pincode voor je sim

in mijn artikel heb ik het dus over de eerste variant.

natuurlijk kun je op je sim een pincode instellen. maar als je op tijd aangeeft dat je toestel gestolen is krijg je je geld wel terug. en daarnaast zijn de meeste dieven niet zo stom om een gestolen SIM te gebruiken omdat ze natuurlijk wel makkelijk uit te peilen zijn zo door de gsm masten.

overigens is een nadeel van het instellen van een pin altijd wel dat je de code moet onthouden. over het algemeen heb je je sim pincode niet vaak nodig, misschien 1x per jaar ofzo. dus vergeten ligt wel op de loer.
daarnaast zijn de meeste dieven niet zo stom om een gestolen SIM te gebruiken omdat ze natuurlijk wel makkelijk uit te peilen zijn zo door de gsm masten.
Dat mag wel zo zijn, maar ga er maar vanuit dat er echt geen moeite wordt gedaan om te gaan uitpeilen of jouw simkaart ergens gebruikt wordt. Grote kans dus dat er wel gebeld wordt met je telefoon. Je kant het beste direct je abo laten blokkeren.
Heb je liever dat zoiets hier niet komt te staan en dat morgen iemand jouw iphone steelt en voor enkele honderden euros opbelt?
goed lezen. dit beveiligingsprobleem doet zich alleen voor als de iPhone in de standby modus gaat, en daar weer uitgehaald moet worden. dit doet-ie vanzelf al na 1-5 minuten waardoor er weinig mensen zijn die deze pincode uberhaupt activeren. Ook is er geen enkele andere telefoon die de mogelijkheid biedt om een pincode te vragen wanneer die door de gebruiker uit de schermsavermodus wordt gehaald.

Andere telefoons gebruiken alleen een SIM pincode, welke de iPhone ook gebruikt en welke wél naar behoren werkt. Bij de iPhone zijn alleen door de SIM pincode de belfuncties afgeschermd. De andere applicaties zijn wel toegankelijk. Daar zie ik het nut niet helemaal van in, maar het is bewust gedaan. Misschien zodat je, als je je PIN vergeten bent, nog wel muziek kan luisteren :)

Al met al storm in een glas water. NIKS aan de hand. Het staat niet voor niets sneller op de T.net frontpage dan op macrumours zelf (inmiddels wel, jaja). Wat opvalt: positieve berichten, zoals dat het probleem met ontvangst niet aan de hardware van de iPhone ligt, doen er om één of andere reden drie dagen over om te verschijnen, negatieve informatie is per direct beschikbaar.
Ook is er geen enkele andere telefoon die de mogelijkheid biedt om een pincode te vragen wanneer die door de gebruiker uit de schermsavermodus wordt gehaald
hierin moet ik je toch tegenspreken. Ik heb hier een Nokia NGage QD, waar dit wel degelijk mee gaat (en wat ik ook gebruik :-) )
Rond de tijd dat ik die gekocht heb (3 a 4 jaar terug), waren er nog andere (Nokia) toestellen, die dit ook hadden...
Ook is er geen enkele andere telefoon die de mogelijkheid biedt om een pincode te vragen wanneer die door de gebruiker uit de schermsavermodus wordt gehaald.
Als je alle Palm Treo modellen totaal buiten beschouwing laat wel ja. Volgens mij zijn er ook zat andere telefoons op basis van Windows Mobile die dat kunnen. Sterker nog, ik denk dat zelfs het gros van de smartphones standaard deze functionaliteit heeft. Je kunt daarbij gewoon je eigen wachtwoord, passphrase of pincode ingeven om diverse zaken te beveiligen. Op PalmOS Treo's werkt het met een wachtwoord waarbij diverse onderdelen geblokkeerd kunnen worden qua data maar waarbij je ook kunt zeggen dat bepaalde stukken data beveiligd moeten worden. De variant van de iPhone is hierin nogal uitermate basic.
verder is dit soort beveiliging van willekeurige welke gadget natuurlijk een beetje een farce omdat iemand altijd de firmware opnieuw kan flashen.
In het geval van de iPhone wist een firmware-update de gehele telefoon, waarna de gegevens vervolgens wordt teruggezet vanaf een door iTunes gemaakte backup. Op die manier de toegangscode proberen te omzeilen levert je enkel een maagdelijke telefoon op - dit inderdaad in tegenstelling tot het gros van de mobiele toestellen.
was er een tijdje terug niet in het nieuws dat de instellingen van de iPhone bleven bestaan na flashen of refurbishen?
dat was zo met de 1.0 software. Ze hebben dat in 2.0 opgelost omdat natuurlijk veel mensen hun oude iPhone zouden vervangen door een nieuwe.
de eventuele misbruiker moet fysiek toegang hebben tot de iphone. dit beperkt de ernst van het probleem natuurlijk al in hoge mate.
Wat een gedownplay weeral van de Apple fans. Dat er fysieke toegang moet zijn beperkt het probleem net niet, het verhoogt de ernst van het probleem net in hoge mate.
hetgeen andersom vaak geldt voor mensen die MS weer top vinden. Het gaat er wat mij betreft om of zijn reacties ook doordacht en goed zijn, dan kan hij net als ik deze mening prima hebben natuurlijk, helaas wordt daar nauwelijks naar gekeken door veel Tweakers.

On topic: slordig lek, ik heb de passcode ter beveiliging van het gebruik door derden van mn telefoonfunctie. Gelukkig erg eenvoudig te fixen en net als velen had ik onder de knop de iPod functie staan. Ik gok er eerlijk gezegd op dat dit soort trucs op andere telefoons net zo gemakkelijk te vinden zijn mbv een Computer, aangezien dit soort beveiliging nooit zo serieus is genomen. Dus slordig, maar nauwelijks een echte impact hebbende en dus grappig dat er een heel artikel aan wordt gewijd.
Het gaat niet om of je apple of windows beter of niet beter vind, het schijnt vaak voor te komen dat apple gebruikers bijna op religieuze wijze apple trachten te beschermen. Alles wat enigszinds fout is word bij apple goed gepraat. Kijk voor de lol eens naar al die iphone topics over slechte ontvangst, iedereen geeft alles de schuld, behalve apple zelf. Ga jij eens tegen een iphone eigenaar vertellen dat 't jammer is dat flash 't niet doet op dat ding, wat een verhaal je dan terug krijgt, want dan is flash ineens toch niet belangrijk en interessant.

MMS ook, in NL gebruiken weinig mensen het, maar in het buitenland is het bijna even duur als SMS, waardoor het gebruik veel hoger ligt. Maar, sinds de iphone is MMS ineens niet belangrijk meer en doet 't er niet toe.

Copy paste? Ken dat ding niet, maar hoor je daar iphone eigenaren over? Neen, die gaan niet zeggen dat 't een negatief punt is, die vinden 't allemaal wel best, want wanneer gebruik je het nou? Nou, ik iedere dag meerdere malen.

Dit ook, flink lek, als je telefoon gejat word en je hebt die instelling niet gewijzigd, dan ben je gewoon de lul. Maar, iphone eigenaren vinden het niet zo erg, want je kunt dit, en je kunt nog iets, en hoe erg is 't nou echt.

Nou, moet je eens bij nokia of winmobile proberen, dan breekt de hel los en valt iedereen over elkaar heen om te dreigen met oplossen e.d.

Ik moet eerlijk zeggen dat ik 't heel komisch vind om te zien, is mens eigen om zo te reageren. Maddox heeft er ook een mooi stukje over geschreven een tijdje terug.

http://www.thebestpageintheuniverse.net/c.cgi?u=macs_cant
Idd heb je de religieuze types, maar er zit toch zeker ook voldoende goed commentaar tussen. Ik ben zelf een recent iPhone gebruiker en Internet mij suf (net als nu). Al de punten die jij aanhaalt en die vaak worden aangehaald door mensen die het apparaat niet gebruiken, ervaar ik idd niet als vervelend. Mms nog nooit gebruikt (email wel), flash mis ik idd niet (blijkbaar surf ik erom heen ofzo), deze beveiliging vind ik slordig maar is niet plots een grotere issue omdat het de iPhone is. Het gaat om goede onderbouwing, als die er is kan je weldegelijk zaken "goed" praten (want blijkbaar zijn ze voor die persoon geen issue). Uiteraard moet men dan net zo goed ms topics kunnen onderbouwen, die zijn er genoeg, mensen met domme one-linera, die bepalen toch hopelijk niet jouw kijk op mensen die positief commentaar uiten voor Apple?
MMS heb ik nog nooit gebruikt heb altijd Nokia gehad dat het niet op de iPhone zit mis ik niet weet niet hoe anderen hier over denken.

Copy Paste is inderdaad een minpunt dat is iets wat ik wel mis en hoop dat het er ineen firmware update toch eens komt.
En de site van Maddox is wel grappig, ik kon het al maar wel achterhaald. Hij heeft ook iets geschreven over de eerste versie iPhone

http://www.thebestpageintheuniverse.net/c.cgi?u=iphone

[Reactie gewijzigd door Queenfanmichel op 28 augustus 2008 12:08]

Dit lijkt me enigszins op de manier waarop je destijds een iPhone moest hacken?
On the activation screen, slide for emergency and dial: *#301# to make the phone call itself. (If the incoming call dialog quickly disappears but it keeps ringing, just dial 0 (remove *#301# first), and it will call itself)
Answer the call, and tap on Hold
Phone will call it self again, tap Decline. You will now be returned to the normal dialer.
Tap on contacts, and tap the + icon to add a new. The only info you are going to add to this contact are two URL's. To add a URL, tap Add new URL. The first URL is prefs followed by a colon: prefs: and the second is i.unlock.no. Tap Save.
Your contact now has two "web pages" - tap on the first one (prefs:). This will take you to the settings dialog. The reason you want this, is because you need to connect to a Wi-Fi network, so tap on Wi-Fi, and get connected to a network, and make sure the icon on top of the screen is indicating that you are connected. While you are in the settings dialog, you should also set: General → Auto-Lock → Never.
Now, press the home button, and again, slide for emergency dial 0, Answer the call, Hold and Decline the new call so that you get to the contacts. Tap on your contact (No Name), and this time tap on the other home page, i.unlock.no
Vreemd en jammer dat Apple dit nog niet heeft kunnen aanpakken. Zoveel verschil met de huidige hack zie ik niet.
Ik denk dat je je meer zorgen moet gaan maken om het feit dat iemand anders je telefoon heeft dan om het feit dat hij in dat geval dan "exploitable" zou zijn. Bij fysieke toegang tot iets geldt dat andere security maatregelen eigenlijk al weinig zin meer hebben omdat nou juist die fysieke toegang de grootste security risk is. Pak de iPhone, doe er een andere simkaart in... Enige verschil is dat je dus op kosten van een ander kunt bellen/sms'en/internetten. Voor veel telco's is dat dan ook de reden om er op aan te dringen dat bij verlies/diefstal je direct contact met ze opneemt om de boel te laten blokkeren. Doe je dat niet dan kun je zelfs verantwoordelijk worden gehouden. Het is dus exact hetzelfde als bij het verliezen/gejat worden van je pinpas.

Fysieke toegang is voor veel OS bouwers trouwens ook de reden om niet aan beveiliging te doen omdat de hoogste level eigenlijk al gepasseerd is. Je kunt weliswaar nog ter discussie stellen dat het desondanks toch wel handig is als je data altijd encrypted is maar je zult bij de encryptie dan wel rekening moeten houden met het feit dat men bij fysieke toegang het ding kunnen meenemen om elders je encryptie proberen te doorbreken. In hoeverre je dan nog wat aan die encryptie hebt hangt van een aantal factoren af.

Je moet fysieke toegang zien als dwars door de beveiliging heen komen op Prinsjesdag om vervolgens naast de koningin te kunnen gaan staan. Iemand die op deze manier al toegang heeft tot de koningin heeft vrijwel volledig vrij spel. Daarom zal men koste wat kost proberen te vermijden dat iemand bij de koningin kan komen. Geldt trouwens voor al die hoge piefen.
Ik vind dat je 2 vergelijkingen gebruikt die niet opgaan.
1) Je hebt helemaal niets aan een pinpas, zolang je de pin-code niet weet is het niet meer dan een plastic kaartje. Met (en ook zonder) dit truukje is een iPhone meer dan een plastic kaartje.
2) De koningin en andere hoge piefen worden inderdaad beschermd door bodyguards. De meeste iPhone gebruikers echter niet. Wanneer er dus een groep nozems komt en die je telefoon eisen, dan is er weinig 'fysieke security' om hen tegen te houden. En de beste manier om dit tegen te gaan is ervoor zorgen dat alleen de koper iets aan het apparaat heeft, bescherm je kopers!

[Reactie gewijzigd door Chubbchubb op 27 augustus 2008 19:49]

Dan snap je de vergelijking dus simpelweg helemaal niet. Het punt dat iemand je telefoon af kan pakken is het grootste gevaar. Dan heb jij lekker de code ingesteld en dan nemen ze het ding mee. Als die beveiliging niet van het niveau is "3x mis is lock" zoals je dat bij de simkaart aantreft heb je er in je jat voorbeeld absoluut niets aan. Wat jij aan voorbeelden geeft noem je security through obscurity: valse veiligheid. Zolang je nog met bruteforce/trial & error passwords en codes in kunt rammen is er geen veiligheid. Ding jatten en je hebt de vrijheid om het ding op je gemak te kraken. Beveiliging bestaat uit meer dan 1 ding, het is iets wat uit diverse lagen bestaat.

Waarom zitten er aan kledingstukken beveiligingslabels met inkt? Waarom zitten er in die geldzakken/koffers inktpatronen? Om te zorgen dat wanneer het gejat wordt mensen niet de vrijheid krijgen om op alle gemak de labels eraf te slopen, de koffer open te breken, etc. Zodra je die inktpatronen niet verwijderd en de afstand te groot wordt gaan die dingen af en maakt het de inhoud van de koffer of het kledingstuk waardeloos. In geval van een simkaart wordt hij geblokkeerd.

In het geval van de pinpas moet ik je helaas ongelijk geven. Er klopt helemaal niets van je verhaal. De meeste criminelen hebben namelijk al genoeg aan alleen de pinpas. Deze wordt dan gekopieerd. Overigens staat er ook al aardig genoeg informatie op de pas zelf (rekeningnummer, naam rekeninghouder, handtekening...net de gegevens die je nodig hebt om een cheque te kunnen uitschrijven). Buiten dat is een code van 4 cijfers voor een grote hoeveelheid klanten nou niet bepaald een veilige oplossing. De pinpas is juist 1 van de meest onveilige betaalmiddelen die we kennen omdat het ontwerp van het hele ding gewoon niet mee voldoet aan de huidige maatstaven. Daarom is men ook druk bezig met de ontwikkeling van een nieuwere versie waarbij men zich richt op het kopiëren van de pas (men wil dit onmogelijk maken).
Wij hebben het hier met drie verschillende toestellen gereproduceerd en het kan wel degelijk. De crux is echter dat je een contact in je favorietenlijst moet hebben staan. Is dat zo dan kun je naar het SMS-scherm. Hoe meer informatie je hebt ingevuld bij de favoriete contactpersoon, hoe meer er toegankelijk is, zoals contacten, emails, de browser etc. Belangrijkste is dat het als je bijvoorbeeld een keer een SMS hebt gekregen van iemand die niet in je telefoonboek staat, of een keer een voicemail-sms hebt gekregen, het mogelijk is willekeurige nummers te bellen én te blijven bellen.

Het issue is dat de toegangscode een vals gevoel van veiligheid geeft voor het beschermen van persoonlijke gegevens op de telefoon, omdat deze toegankelijk zijn ook al weet je de toegangcode niet. Het feit dat de toegangscode alleen toegang tot het home-scherm beveiligd en verder niets is natuurlijk nogal vreemd.

Het is natuurlijk geen gigantisch lek maar dermate eenvoudig te (mis)bruiken én voorkomen dat het nieuwswaardig is. Daarnaast vereist het geen obscure instellingen van de kant van de gebruiker: dat dubbelklikken op de homebutton naar de favorieten leidt is de standaardinstelling, en de kans dat de gemiddele iPhone-gebruiker één of meerdere contacten in de favorietenlijst heeft staan is aanzienlijk.
De vraag is natuurlijk wel waarom iemand die op jouw kosten wil bellen én jouw telefoon heeft niet gewoon de sim (zonder pincode, want anders werkte de exploit niet) in zijn eigen toestel propt, maar goed.

[Reactie gewijzigd door Daniel op 27 augustus 2008 16:48]

Ik heb namelijk niks in mijn favorieten staan dus kan het bij mij niet, maar heb mijn homebutton op iPod gezet en probleem (hopelijk) opgelost.
Oh het kan niet bij jou dus iedereen is gered?
Maar standaard staat hij ingesteld op favorieten.
Dus geen storm in een glas water maar wel degelijk een security issue.
Storm in een glas water om de doodeenvoudige reden dat als je de telefoon (of wat dan ook) aanzet je continu om de code wordt gevraagd. Als je dus even iets snel wilt opzoeken kun je dat vergeten...je moet eerst de code invoeren. Je krijgt dus exact hetzelfde gedoe als met UAC in Windows Vista en wat deden veruit de meeste mensen daarmee? Uitzetten omdat ze het gigantisch irritant vinden.

Kijk eens om je heen en vraag eens zo her en der wie zijn telefoon allemaal beveiligd heeft. Men zal allemaal wel roepen dat ze een simcode hebben maar extra beveiligingen zoals in het geval van de iPhone heeft men niet. Het is namelijk ontzettend gebruiksonvriendelijk, het hindert de gebruiker enorm in zijn werkwijze en om die reden heeft vrijwel iedereen het uit staan. Sta ook niet verbaasd te kijken als mensen je raar aankijken en je de vraag stellen "kan dat dan?". Meeste mensen weten niet alle ins en outs van hun apparatuur. Ik durf er wel mijn geld op te zetten dat de meeste mensen niet eens af weet welke mogelijkheden ze hebben om hun apparaat te beveiligen. Zowel fabrikanten als telco's zijn nou niet bepaald informatief over deze extra features en dat is best kwalijk eigenlijk omdat men hun zogenaamde maatschappelijke verantwoordelijkheid niet nemen.

Bar weinig mensen gebruiken dit soort extra features dus wanneer een mobile device (zoals de iPhone, zoals de Nokia N95, zoals de Treo 650, etc.) hier dan een security issue in heeft is het eigenlijk altijd een storm in een glas water. Even helemaal afgezien van het feit dat als je je telefoon kwijt bent je eigenlijk een veel groter probleem hebt. Overigens wil "een storm in een glas water" niet zeggen dat het niet om een security issue gaat. Het zegt alleen dat het risico nogal erg klein is dan men doet voorkomen. Het is nogal erg gemakkelijk om op een kist te gaan staan en maar wat in de rondte te schreeuwen. Alles in context en juiste perspectief (een goede risico analyse) zien is heel wat moeilijker maar maakt dingen wel heel wat genuanceerder.
Uhh, b'tje lezen wellicht? Dat is nou precies wat er in het bericht staat: je kunt bij de favorieten. En wanneer daar bepaalde dingen in staan, zoals beschreven in het artikel, dan kun je die misbruiken.

Als Apple-voorstander vind ik het toch jammer dat Apple dit soort slippertjes maakt :(
Hopelijk leren ze hier van en maken er gauw een patch voor.
Het "op ipod zetten" zoals hierboven uitgelegd, is wel een leuke work-around, maar je kunt niet verwachten dat de gehele iPhone community dit bericht leest/hoort en ook nog eens de instelling aanpast. Hopen dus nogmaals dat er snel een patch komt.
Dit staat ook op andere sites, Macrumors o.a is dit ook al gemeld.
Euhm.. er staat dan ook dat je een SMS kan sturen naar contacten en als je -dan- op Cancel drukt, je in het SMS menu blijft hangen. Ik zie uit je post niet of je dat ook geprobeerd hebt, i.p.v. direct naar de andere menus te gaan.

Het laatste deel van je post is een beetje te sterk in het ontkennen van een probleem. Als het probleem bestaat, dan is het bestaan van een oplossing in de vorm van een workaround nog geen reden om te zeggen dat het probleem niet meer bestaat.
ik ontken het niet, het bestaat en bewezen maar zoals ook op Macrumors staat en vast ook wel op meer sites kan je dit omzeilen door de homebutton aan te passen.

Simpel dus ja een storm in een glas water, wordt dit soort problemen ook breeduit op Tweakers gezet als het voorkomt bij een ander telefoontoestel??????

Maar het valt me op dat zodra er iets negatief te melden valt over Apple het er gelijk opstaat, iets positief duurt een tijdje
Dit is heel makelijk op te lossen voor Apple natuurlijk, gewoon standaard instellen dat de homeknop in dat venster geen functie heeft..

//offtopic
Doet me denken aan een xp probleempje, ik kon niet meer inloggen door dat het os niet geactiveerd was. Je kon echter wel ergens klikken dat je naar een hulp site van MS ging, en via dat IE venster kon je wel gewoon naar andere sites en naar je hdd browsen :+
Ik zie het verband niet. Is het laten we de aandacht van Apple afleiden door over MS te beginnen tijd?

[Reactie gewijzigd door aval0ne op 28 augustus 2008 11:04]

Is dit niet gewoon een bug in plaats van een een hack?
Het is een bug die een hack mogelijk maakt :)
Doet me meer denken aan een Easter egg. Maar geen leuke.
Is dit niet gewoon een bug in plaats van een een hack?
Het is geen bug. Een bug is iets wat je niet wilt. Dubbelklikken op de home button om naar je favorieten te gaan hoort daar niet bij.
Tenzij het niet de bedoeling is dat de dubbelklik functie werkt wanneer je de boel met die code hebt beveiligd. Dan is het dus gewoon wel een bug. Het is nu onduidelijk of dit inderdaad een feature is (risico afgewogen) of gewoon een domme bug (niet goed hebben nagedacht dat je dit soort dingen kunt doen).
Hoe lullig dit ook klinkt, maar was ik al geruime tijd achter.
Namelijk bij de iphone van mijn collega ondervonden, welke het vreemd vond dat ik kon bellen met zijn phone omdat deze gelokt was.
Je kunt hiermee ook bij de email komen als er in je favorieten iemand staat waarvan je ook een email adres hebt. Zelfde idee als met tekstberichten.
Euhm, als er geen pin-code op de simkaart zit, dan kun je die er ook gewoon uit slopen en in een andere telefoon ermee bellen. Dat vind ik nou niet echt een security-lek dus...

Wat wel jammer is, is dat men bij de persoonlijke gegevens zoals contacts/mail kan komen. Maarja, iemand die dat écht wil, komt er toch wel bij...
Het probleem hier (naar mijn mening) is dat je hiervoor geen computer of andere hulpmiddelen nodig hebt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True