Bedrijf claimt encryptie iOS 4 gekraakt te hebben

Beveiligingsbedrijf ElcomSoft claimt de hardware-encryptie in iOS 4 gekraakt te hebben. Het bedrijf heeft zo toegang tot alle gegevens die in een iOS-device zijn opgeslagen, maar maakt de techniek alleen toegankelijk voor overheidsinstanties.

Encryptie iOS gekraakt Dankzij het breken van de hardwarematige encryptie van systeembestanden kan ElcomSoft van een iPhone die het zelf in bezit heeft alle gegevens uitlezen, zoals locaties waar de telefoon is geweest, browsergeschiedenis, verwijderde sms'jes en alle andere data op de device. Dat zijn veel meer gegevens dan in een backup staan die via iTunes wordt gemaakt, claimt het bedrijf.

Alle systeembestanden in iOS 4 worden versleuteld, een functie die in iOS 3 nog niet te vinden was. De encryptiesleutel wordt mede bepaald op basis van het serienummer van de device dat door Apple is toegekend, het uid en het wachtwoord van de gebruiker. Daardoor werkt de methode alleen als de gebruiker zijn iOS-device en wachtwoord afgeeft. Systeembestanden op afstand uitlezen is vooralsnog onmogelijk.

ElcomSoft zegt niet te willen dat de techniek in verkeerde handen valt en stelt deze daarom alleen beschikbaar aan overheidsinstellingen zoals geheime diensten. ElcomSoft claimt de eerste te zijn die de encryptie van systeembestanden heeft gekraakt.

Reacties (132)

132

131

101

Wijzig sortering

ZeroVince 25 mei 2011 11:11

Dit is geen nieuws. Fraunhofer heeft dit maanden geleden al aangetoond en daarvoor ook al eens door Jonathan Zdziarski..

http://www.iphoneclub.nl/...te-omzeilen-op-ios-4-2-1/
http://www.zdziarski.com/blog/?p=516

NSG @ZeroVince • 25 mei 2011 11:31

Elcomsoft omzeilt de encryptie niet, ze hebben de encryptie zelf gekraakt!

ZeroVince @NSG • 25 mei 2011 12:26

Je denkt toch niet echt dat ze 256-bit AES-encryptie hebben gekraakt?

De aanval richt zich net als de methode van Fraunhofer op de implementatie van de encryptie, met dien verstande dat ze zich op een ander doel hebben gericht (Fraunhofer met name op de keychain - ElcolmSoft op persoonlijke gegevens).

[Reactie gewijzigd door ZeroVince op 25 juli 2024 19:58]

NSG @ZeroVince • 25 mei 2011 14:20

Ken jij Elcomsoft wel? Ze verkopen zelfs software om 256-bit AES encryptie te kraken!

Verwijderd 25 mei 2011 10:10

Als een beveiligingsbedrijf het kan, kan een goed geoefende hacker dit ook. Uiteindelijk is alles te hacken lijkt mij.
Nu maar hopen dat dit daadwerkelijk alleen voor "het goede doel" gebruikt zal worden.

kwakzalver @Verwijderd • 25 mei 2011 10:26

Wij houden lokatie data niet bij

Nou breekt mijn klomp. Het zijn prachtige design producten maar realiseert iemand zicht dat Apple je privegegevens alsnog bijhoudt. Dus naast dat stiekeme gedoe en de mea culpa hebben ze het nu versleuteld verborgen in de hardware.

Sorry hoor, niet verwijderen maar 'hardwarematig' opslaan? Die functie moet dus bewust ingebouwd zijn. Dat kan volgens mij toch geen 'foutje' meer zijn...
Welke reden zal Apple geven dat het verwijderde prive data alsnog opslaat?

Dank aan Elcomsoft voor de heldere inzicht die zij verschaft.

Dat een UID and wachtwoord nodig is van de gebruiker is, maakt het lastiger maar niet onmogelijk. Denk dat een video observatie door een veiligheidsdienst voldoende is om je je wachtwoord in te zien geven. Niet veel mensen schermen hun iPhone af als ze het unlocken.

Daarnaast is het even wachten (speculatie) totdat iemand de backdoor heeft gevonden die waarschijnlijk verplicht is ingebouwd zoals dat in Amerika altijd noodzakelijk blijkt te zijn.

edit: Ok iets verkeerd uitgelegd, maar de data wordt op je iPhone hardwarematig ge-encrypteerd lokaal opgeslagen. Zelfs verwijderde data zit nog in de cache. En jij/wij hebben geen benul wat er daar allemaal precies opgeslagen wordt. Alleen dat het 40 minuten kost om achter jou wachtwoord te komen. Het gaat me erom dat er weer meer persoonsgegevens (zelfs verwijderde zit data nog in de cache) wordt opgeslagen dan we willen of zelfs toe willen staan.

With iPhone 4, the maximum time of breaking a 4-digit passcode is therefore about 40 minutes, while taking about 20 minutes on average.

[Reactie gewijzigd door kwakzalver op 25 juli 2024 19:58]

ZpAz

Mobiele besturingssystemen
Apple iOS
Apple

@kwakzalver • 25 mei 2011 10:35

Met een bugfix in de nieuwe iOS versie is dat 'probleem' aangepast, Android past éénzelfde caching-systeem toe. Enkel was er bij iOS een bug dat het te lang bewaard bleef. Bij Android is dit dacht ik een week, en volgens mij is het bij iOS ook daarheen terug gebracht.

Wat bedoel je trouwens met 'hardwarematig' opslaan? Heb je het artikel wel gelezen? Je hebt een plus drie, maar waar je die aan verdient hebt weet ik niet. Het 'hardwarematige' is de encryptie, zodat iOS niet vertraagd wordt tijdens het en en decrypten.

Ook dat het wachtwoord nodig is, mja dat noem ik geen kraken, heb je die niet, dan moet je bruteforcen, met of zonder 'deze geclaimede' manier om het te kraken. Dus daar schiet je niets mee op.

Daardoor werkt de methode alleen als de gebruiker zijn iOS-device en wachtwoord afgeeft. Systeembestanden op afstand uitlezen is vooralsnog onmogelijk.

[Reactie gewijzigd door ZpAz op 25 juli 2024 19:58]

T-men @ZpAz • 25 mei 2011 11:58

Ook dat het wachtwoord nodig is, mja dat noem ik geen kraken

Het gaat hier om data waar de gebruiker zélf in principe ook niet (meer) bij kan. Zoals b.v. verwijderde SMS'jes.

Ik neem aan dat ze een laag dieper gegaan zijn dan het OS en rechtstreeks het file-systeem benaderen.

Net zoals dat je in het oude DOS ook je bestanden niet meer zag na een delete. Ze waren voor de gebruiker dus weg. Feitelijk was er maar 1 karakter in de filenaam aangepast. Verder was alles nog gewoon aanwezig. Hierdoor kon je via het herstellen van dat karakter je hele bestand 'undeleten' (mits het nog niet overschreven was uiteraard)

Wanneer je het OS overslaat kun je waarschijnlijk ook bij bestanden die door het OS worden afgeschermd. Lees: feitelijk zou je root toegang hebben op het hele device, en dat is dan ook precies wat ze claimen:

Het bedrijf heeft zo toegang tot alle gegevens die in een iOS-device zijn opgeslagen.

[Reactie gewijzigd door T-men op 25 juli 2024 19:58]

ZpAz

Mobiele besturingssystemen
Apple iOS
Apple

@T-men • 25 mei 2011 12:32

Met een jailbreak heb je ook root-toegang, niet zo veel bijzonders dus. Daarmee krijg je ook toegang tot alle gegevens. Bijvoorbeeld kan je zo verwijderde foto's terughalen ( http://www.redmondpie.com...d-after-spirit-jailbreak/ )

Ik vind het dan ook niet zo bijzonder, ze moeten fysieke toegang en het wachtwoord hebben, ja dan kan ik het ook.

T-men @ZpAz • 25 mei 2011 15:26

Het bijzondere is dan ook niet dat ze root hebben verkregen, maar dat ze de encryptie op het file-systeem hebben verslagen. Overigens zonder het device ge-jail-breakt moet worden.

Het bijzondere zit 'm dus in het andere soort crack dat uitgevoerd is.

De eventuele optie root te verkrijgen is een bonus en verder eigenlijk niet van belang.

Of ze er rijk van gaan worden door dit aan overheden te gaan verkopen valt te betwijffelen. Zoals andere tweakers hier ook al stellen: Apple heeft de master-key natuurlijk ook, en wanneer overheden toegang tot het filesysteem willen, dan zullen ze die via Apple vast wel krijgen. Wellicht zelfs zonder dat een UID en wachtwoord nodig is.

curumir @T-men • 26 mei 2011 10:27

Ze hebben de encryptie niet verslagen!

Ze hebben de methode reverse-engineered, maar de encryptie is nog steeds veilig omdat je het wachtwoord nodig hebt om iets te decrypten. Dit in tegenstelling tot het DeCSS algorithme dat daadwerkelijk de bestanden decrypt.

Obbut @T-men • 25 mei 2011 12:51

Zo goed als elk bestandsysteem werkt zo dat het bestand niet 'echt' verwijdert wordt. Zelfs als je de partitie snelformatteert (zoals MS het noemt) blijven je gegevens bewaard. Daarom zijn er file shredders en daarom werken file recovery tools.
Als bestanden altijd 'echt' verwijdert zouden worden zou het verwijderen tergend langzaam gaan omdat alle data moet worden overschreven.

Darkstriker @ZpAz • 25 mei 2011 13:11

Te lang gegevens bijhouden is echte geen bug. Dat is 100% moedwillig ingesteld. Alleen toen er zo'n gigantisch schandaal om kwam moesten ze het wel ergens op afschuiven en noem het dan maar een bug want dat is er niemand iets te verwijten.

Dat is net als Google dat beweerd dat er in "bug" was in de dataverzameling van al zijn streetview autos en dat jarenlang die ervoor zorgde dat extra data werd bijgehouden over wifi netwerken. Fat chance. Om die extra gegevens bij te houden moet je behoorlijk was code schrijven om juist dat voor elkaar te krijgen. Dat kan niet per ongeluk. Het is gewoon een excuus dat de gemiddelde eindgebruiker wel slikt. Het heeft ongeveer evenveel met de waarheid te maken als de bijbel met de realiteit

[Reactie gewijzigd door Darkstriker op 25 juli 2024 19:58]

Zoop @Darkstriker • 25 mei 2011 15:47

Heb je daar ook bronnen van? Die info komt namelijk helemaal niet bij Apple terecht oid, dus waarom zou er moedwillig dan die info opgeslagen worden? De enige die daarbij gebaat is, is de klant, want die info wordt gebruikt om de verbindingen te verbeteren.

Niet bepaald te vergelijken met die Google karretjes, waarbij info daadwerkelijk geharvest werd, en in handen is gekomen van Google.

mddd @kwakzalver • 25 mei 2011 10:46

Ik snap je reactie echt niet. Het is NIET zo dat er geheime dingen opgeslagen worden ofzo. Het gaat hier gewoon om je normale gegevens die op je telefoon staan.

Wat betreft het "hardwarematig opslaan": Alles wat op de telefoon staat is versleuteld opgeslagen. Daardoor is het voor een buitenstaander juist NIET mogelijk om zomaar toegang tot die informatie te krijgen. Zelfs al zou je de geheugenchips direct uitlezen, dan heb je er nog niks aan want alle data is versleuteld. De sleutel waarmee dit gebeurt staat ergens op de telefoon maar wanneer je een "wipe" doet (hetzij op de telefoon, hetzij op afstand) dan wordt de sleutel verwijderd en is de informatie op de telefoon dus effectief waardeloos. Dit zijn dus maatregelen die juist enorm in het belang zijn van de gebruiker.

Het ENIGE dat nu aan de hand is, is dat men blijkbaar de sleutel kan samenstellen wanneer men je wachtwoord weet en over het apparaat zelf beschikt.

Je zegt "alles wat men moet doen is het wachtwoord weten". Maar dat lijkt mij nogal logisch! Ja, als je iemand zijn wachtwoord weet, dan kun je zijn gegevens benaderen.

Wat betreft het "verwijderde gegevens alsnog opslaan": als jij een bestand op je pc verwijdert, dan blijft de data óók opgeslagen. De data wordt niet overschreven, enkel de informatie in de directory tree van je schijf wordt weggehaald. Dit is precies waar het hier over gaat. Het is dus NIET zo dat er van alles bewaard wordt op een stiekeme manier, dit is gewoon hoe een bestandssysteem werkt. Ja, je zou alles met nullen kunnen overschrijven maar dat kost tijd en vermindert de levensduur van het flash-geheugen onnodig.

Alles wat hier beschreven wordt is volgens mij heel normaal, ik snap niet waarom je je er zo druk over lijkt te maken. Het enige wat Apple naar mijn idee beter zou kunnen doen is het samenstellen van de key, bijvoorbeeld door die meer random te kiezen. Maar dan krijg je dus wel de situatie dat een domme gebruiker een wipe doet, en daarna ECHT nooit meer bij zijn data kan. Ik kan me voorstellen dat de mogelijkheid om gegevens te recoveren (door je wachtwoord te geven) in het grote plaatje (dus: voor het overgrote deel van de gebruikers) zwaarder weegt dan het belang om alle data 100% definitief onleesbaar te maken.

SED @mddd • 25 mei 2011 14:14

Meestal hebben leveranciers een masterkey om zaken alsnog toegangkelijk te maken. Als Apple die heeft dan is dus alles volledig toegankelijk voor ze!

supersnathan94

Apple
Apple iPhone
Apple iOS

@kwakzalver • 25 mei 2011 10:55

Denk dat een video observatie door een veiligheidsdienst voldoende is om je je wachtwoord in te zien geven.

en dan? wat willen ze doen? telefoon jatten zodat ze kunnen zien waar je ONGEVEER geweest bent? als ze dat willen bellen ze gewoon je provider op hoor. Die heeft veel gedetailleerdere gegevens die meestal tot op de meter nauwkeurig zijn.

imo wordt dit ook gewoon vreselijk opgeblazen.

Dat een UID and wachtwoord nodig is van de gebruiker is, maakt het lastiger maar niet onmogelijk.

je hebt fysieke toegang tot de telefoon nodig en het wachtwoord van de gebruiker. een hacker kan niet zomaar even de gebruiker dwingen zijn wachtwoord af te geven ofzo. en wat dan nog wat kan je ermee? helemaal niets.

zoals locaties waar de telefoon is geweest, browsergeschiedenis, verwijderde sms'jes en alle andere data op de device.

alleen dat laatste zou eventueel een probleem kunnen zijn als je belangrijke bedrijfsgegevens erop hebt staan, maarja als je het wachtwoord hebt kan je natuurlijk net zo goed gewoon inloggen.

ook is niet aangegeven op welke versie van iOS4 deze hack van toepassing is. iOS4.0 en 4.1 hebben last van bugs en iOS4.2 en 4.3 hebben die locatiebug nog. maar bij iOS4.3.3 is dat ook alweer weg.

voor de locatiegegevens zijn trouwens al heel lang apps te krijgen die die gegevens uitlezen dus ook daarvoor geldt dat je daar geen hack voor nodig hebt.

ElcolmSoft zegt niet te willen dat de techniek in verkeerde handen valt en stelt deze daarom alleen beschikbaar aan overheidsinstellingen zoals geheime diensten. ElcolmSoft claimt de eerste te zijn die de encryptie van systeembestanden heeft gekraakt.

ik zou zeggen laat het Apple zien? het kraken van encryptie is naar mijn weten nog steeds hetzelfde als een voordeur intrappen en dus strafbaar.

[Reactie gewijzigd door supersnathan94 op 25 juli 2024 19:58]

watercoolertje

Mobiele besturingssystemen
Apple iOS
Apple iPhone
Apple

@supersnathan94 • 25 mei 2011 11:06

Lol encryptie kraken strafbaar

Dus als ik een encryptie bedenk, zo heb ik het woordje 'kraakbaar' ook ge-geëncrypteerd en als je goed kijkt zie je dat ook hoe, namelijk 'raabkaark', ow je bent nu strafbaar want je hebt me encryptie gekraakt (als je een IQ boven de 50 hebt, waar ik van uit ga, zie je dat het gewoon omgedraaid is hoe simpel dan ook het is een vorm van encryptie)!

Opsluiten die supersnathan94, hij kraakt encryptie's!!!

[Reactie gewijzigd door watercoolertje op 25 juli 2024 19:58]

supersnathan94

Apple
Apple iPhone
Apple iOS

@watercoolertje • 25 mei 2011 11:13

het ligt er maar net aan om wat voor encryptie het gaat. jouw voorbeeld is natuurlijk klinklare onzin. maar als ik een deur intrap om een dossiermap te stelen bij de buren heb ik een groot probleem. een heel groot probleem. als ik dus jouw encryptie (btw 'tis gewoon kraakbaar achterstevoren

) kraak met als doel gegevens te stelen (dat is het namelijk diefstal.) dan is dat strafbaar ja. waaorm denk je dat er ergens encryptie op zit? zelfde als een slot op de deur je wilt niet dat er iemand ongevraagd binnenkomt en als iemand dat dan toch wel doet dan klaag je hem aan. simpel toch?

Verwijderd @supersnathan94 • 25 mei 2011 12:27

Het breken van encryptie is niet strafbaar. Het is wat je eventueel nadien doet.

Een voordeur open doen is ook niet strafbaar maar wel het binnengaan van private eigendom zonder toestemming.

T-men @Verwijderd • 25 mei 2011 14:00

Het breken van encryptie is niet strafbaar.

Het breken van encryptie is wel degelijk strafbaar. Maar dan in de USA !
Zelfs het feit dat een implementatie van een encryptie door de fabrikant zwak is uitgevoerd is, in principe, geen excuus. Het blijft verboden.

Het is ook de stok waar ze de hackers mee slaan die b.v. die DVD-masterkey hebben gepubliceerd.

Hier in Nederland is het breken van encryptie (nog) niet strafbaar, dat klopt.

Verwijderd @T-men • 25 mei 2011 15:57

You liev in the americas maybe. This not be site for persons from the benelux?

Juist ja.

T-men @Verwijderd • 25 mei 2011 18:12

Jij en ik wonen misschien niet in de USA, maar Apple en ElcomSoft zijn daar wél gevestigd. Het amerikaanse recht lijkt me dus best wel van toepassing.

supersnathan94

Apple
Apple iPhone
Apple iOS

@Verwijderd • 25 mei 2011 13:19

het openen van de voordeur met bijvoorbeeld een loper, of de originele sleutel is net zo goed strafbaar als het niet jouw huis is. want hoe kom je aan die sleutel? alleen als je de sleutel van de eigenaar krijgt of koopt heb jij het recht om die deur op en te doen. anders niet hel simpel.

Zolang Apple dus geen toestemming geeft om erbij te kunnen en de encryptie te hacken, mag je er dus niet bijkomen. daar is de encryptie immers ook voor bedoeld. als je het dan toch doet en de methoden daarvoor niet eens even aan Apple laat zien, maar gelijk doorsluisd naar overheidsdiensten (alsof die zo betrouwbaar zijn) ben je wat mij betreft illegaal bezig. ook de staat.

nehal3m @supersnathan94 • 25 mei 2011 12:20

De vraag is waar de grens ligt.

Stel je hebt de hand op geheime documenten weten te leggen. Als je ze hebt gestolen ben je illegaal bezig, inderdaad.

Maar stel iemand heeft ze gelekt en kan de encryptie niet kraken. Ben je dan ook illegaal bezig als je de encryptie kraakt?

Ik denk het niet, valt dat niet onder persvrijheid?

Verwijderd @kwakzalver • 25 mei 2011 10:40

Alleen word deze informatie niet hardwarematig opgeslagen, maar gewoon softwarematig.
De encryptie die wordt toegepast is wel hardwarematig (en dus device uniek), een subtiel, maar belangrijk verschil ;-)

Daarnaast heeft Elcomsoft niet bekendgemaakt voor welke iOS versie de hack is toegepast. Als dat op iOS 4.0 is gedaan of 4.1 is het nog een groot verschil met de meest recente versie waar de opslag van je locaties is aangepast.

Wat betreft je angst voor de backdoor... Alsof je android toestellen/blackberry's/WP7 toestellen dat niet hebben dan

kwakzalver @Verwijderd • 25 mei 2011 12:44

Beveiliging is net zo sterk als de zwakste schakel. Zoals het wachtwoord op de monitor geplakt of onder het toetsenbord.

Een van die onderdelen is te weten hoe goed/zwak een item beveiligd is.

Een backdoor, ja dat is bekend. Maar als ik data wipe op een unit, dan moet die unit ook helemaal 'clean' zijn.

Zoniet dan hebben wij onze tijdverdrijf zoals die van EDR: http://edrsolutions.com
En geloof me het is leuk en melig 'bijna' gloednieuwe hardware te crushen.
(Veiligheidsbril wel aangeraden..)

Verwijderd @kwakzalver • 25 mei 2011 16:10

Sowieso sla je iets niet 'per ongeluk' op.
Je moet calls doen om bestanden aan te maken en te vullen.
Die calls zet je niet per ongeluk in je code.

densoN @kwakzalver • 25 mei 2011 21:47

Jammer dat je klomp breekt, als je dat artikel had gelezen was je ook opgevallen dat 'wij' niet wil zeggen dat de locatie data niet lokaal op het toestel wordt opgeslagen. Dit wordt gedaan om bijvoorbeeld navigatie software sneller te kunnen voorzien van je huidige locatie, niets spannends dus.

Dat men verwijderde SMSjes e.d. kan herstellen verbaast me ook niet. Net als (alle?) andere filesystemen is de data pas echt weg wanneer deze (meerdere malen) wordt overschreven.

ElcomSoft weet zich d.m.v. PR altijd sterk te profileren, maar er zijn een hoop programmeurs die vergelijkbare software publiceren en vaak vele malen goedkoper of zelfs gratis beschikbaar stellen. Ik wil hier overigens niet mee zeggen dat ElcomSoft slecht is, want de tools die ze uitbrengen doen absoluut wat men belooft.

Schizo007nl

@Verwijderd • 25 mei 2011 19:30

Daarom is er ook de welbekende uitspraak: Alles wat door de mens gemaakt is, kan door de mens ook kapot gemaakt worden.

Vind het een goede zaak dat ze dit voor overheidsinstanties beschikbaar maken, maar waar gaan we de grens leggen. En wat als 't in verkeerde handen valt.

--Andre-- @Schizo007nl • 26 mei 2011 11:40

Ik vertrouw overheden niet... in mijn visie staat de overheid gelijk aan verkeerde handen.

RMX 25 mei 2011 10:14

Ben ik de enige die me afvraagt waarom in godsnaam verwijderde SMSjes terug te vinden zijn?

mddd @RMX • 25 mei 2011 10:55

Smsjes zijn gewoon bestanden. Als je een bestand verwijderd, dan blijft de data gewoon staan. Enkel de geheugenblokken worden vrijgegeven zodat er een ander bestand overheen geschreven kan worden als dat nodig is. Kortom: de data staat dus gewoon nog op de disk.

Zolang de hele disk versleuteld is, maakt dat weinig uit: ookal beschik je over de informatie, je kunt die toch niet lezen zonder de key. Echter wanneer je de key hebt dan kun je dus alle data op de disk lezen - inclusief de gewiste bestanden.

Dit is overigens op een pc precies hetzelfde. Het is dus niet iets heel bijzonders maar ja, wanneer het om dit soort beveiligingsnieuws gaat dan doet het het natuurlijk goed om dit soort dingen te zeggen.

DarkKnight @RMX • 25 mei 2011 10:31

Omdat ome Steve weet dat je eigenlijk je SMSjes niet wilde verwijderen, dus is hij zo vriendelijk om ze toch ergens te bewaren voor je. Netjes toch?

Verwijderd @RMX • 25 mei 2011 10:44

Zelfs op Nokia's van 10 jaar oud kan je verwijderde sms-jes terughalen.

Dit is echt niets uniek in de GSM wereld.

Dylan93 @RMX • 25 mei 2011 10:21

Ben ik de enige die me afvraagt waarom in godsnaam verwijderde SMSjes terug te vinden zijn?

Nee daar sluit ik me compleet bij aan...

welat @RMX • 25 mei 2011 10:32

Nee ik was ook verbaasd, en ik hoop voor iphone gebruikers dat ze een optie hebben om die verwijderde Sms'jes te kunnen....verwijderen

Vraag me af of android ook verwijderde Sms'jes backupt.

Verwijderd 25 mei 2011 12:17

Het gaat nu wel over wel of niet kraken, maar eigenlijk zou ik wel eens willen weten waarom een particulier bedrijf (in dit geval Apple) zonodig (erg veel) gegevens van haar klanten wil bijhouden. Heb ik hierom gevraagd? Wil ik dat überhaupt? Wat doen ze met deze gegevens?

mddd @Verwijderd • 25 mei 2011 12:45

Welke gegevens bedoel je precies? Volgens mij hebben veel mensen het idee dat Apple van alles bijhoudt maar in werkelijkheid is Apple juist redelijk terughoudend. Zo geven ze bijvoorbeeld GEEN gegevens van jou door wanneer je apps, muziek of boeken koopt.

Alle commotie van de afgelopen tijd ging steeds over gegevens die op je telefoon staan maar niet om dingen die Apple van jou heeft : het 'locatie database' probleem had niets te maken met gegevens doorsturen naar Apple. En ook in dit geval gaat het enkel om de eventuele kraakbaarheid van gevens op je telefoon. Niet om dingen die Apple van jou weet.

Verwijderd @mddd • 25 mei 2011 13:03

Welke gegevens? Nou, gewoon mijn reeds gewistte SMS'sjes. Mijn locatiegegevens van overal waar ik ooit geweest ben. Alles wat ik ooit eens heb ingetypt(!) op zo'n ding. Kun jij (of Apple) mij de garantie geven dat ze deze gegevens niet doorgeven? Maar om terug te komen op mijn initiële vraag waar ik nog steeds geen antwoord op heb: Waarom houden ze dit bij?

[Reactie gewijzigd door Verwijderd op 25 juli 2024 19:58]

mddd @Verwijderd • 25 mei 2011 16:17

Dit soort dingen zijn gemakkelijk verkeerd te begrijpen als je de sensationele nieuwsberichten leest.

Gewiste sms-jes: deze zijn gewist. Maar net als op een pc, wordt bij wissen niet de data volledig gewist. Enkel de directory index wordt aangepast zodat het stukje geheugen wordt vrijgegeven om andere bestanden op te zetten. De data staat dus nog op de schijf. Op een pc zou je deze schijf simpelweg in een andere computer kunnen stoppen en voila: je kunt de inhoud van de gewiste bestanden bekijken. Op de iPhone kan dat niet want de hele disk is versleuteld. Maar als je de sleutel eenmaal hebt, dan kun je dus inderdaad de complete inhoud bekijken, inclusief eventuele bestanden (dus ook smsjes) die nog niet overschreven zijn met andere informatie.

Ingetikt: ik ken de details niet maar ik kan me voorstellen dat het OS een buffer heeft van getikte woorden, die wordt gebruikt voor autocorrectie-doeleinden. Dit is dus NIET hetzelfde als 'alles wat je ooit ingetikt hebt'. Wachtwoorden zitten daar echt niet tussen. En ook hier geldt weer: het staat versleuteld op de telefoon.

Als je naar Windows, Mac OS, Android etc. kijkt dan zie je dat daar precies dit soort beperkingen en "problemen" voorkomen. Het is niet dat Apple van alles stiekum loopt te bewaren. Dit zijn normale dingen in een besturingssysteem. Iedereen die een computer gebruikt zou zich bewust moeten zijn dat er heel veel persoonlijke informatie op zijn computer staat. En dat geldt dus ook voor een iPhone. That's it.

nehal3m 25 mei 2011 10:10

Dat ze het alleen beschikbaar willen stellen aan overheidsinstanties vind ik moeilijk te geloven. Als er een kuchende man in een regenjas hun parkeergarage in loopt met een flinke koffer durf ik wel te twijfelen.

Verder vind ik de encryptie niet echt 'gekraakt' als de gebruiker zijn wachtwoord moet afgeven. Of ben ik nou gek?

watercoolertje

Mobiele besturingssystemen
Apple iOS
Apple iPhone
Apple

@nehal3m • 25 mei 2011 10:15

Verder vind ik de encryptie niet echt 'gekraakt' als de gebruiker zijn wachtwoord moet afgeven. Of ben ik nou gek?

Jawel want ze hebben dus ontdekt hoe je met het wachtwoord en serienummer op de encryptiesleutel kan komen, die formule is dus gekraakt!

Wil dus niet zeggen dat iedereen meteen gevaar loopt

Maar wel dat dat de formule om tot die ecryptiesleutel te komen gekraakt is, tijd voor een andere encryptie dus.

[Reactie gewijzigd door watercoolertje op 25 juli 2024 19:58]

humbug @watercoolertje • 25 mei 2011 14:55

Het algoritme van de meeste encryptie algoritmes is bekend. Je moet enkel de key weten om de zaken te kunnen decrypten.

Het is dus leuk dat men nu weet wel algoritme Apple gebruikt en hoe de gegevens gecombineerd worden, maar zonder de volledige key is het nog steeds onbruikbaar. Al is het natuurlijk wel zo dat veel gebruikers geen ingewikkeld wachtwoord hebben en je dus een stuk onveiliger bent doordat een groot deel van de key al bekend is. Maar met een goed wachtwoord kan men nog steeds niets.

nehal3m @watercoolertje • 25 mei 2011 10:19

Soit, je hebt gelijk.

Maar als gebruiker kun je er dus nog redelijk zeker van zijn dat je data veilig is als je je wachtwoord voor je houdt. Of zit ik dan weer fout?

pietje63 @nehal3m • 25 mei 2011 10:25

Zijn de iOs wachtwoorden niet redelijk beperkt (of is er een ander wachtwoord dan de beweging voor de unlock?).

Hoeveel combinaties van bewegingen zijn er mogelijk, lijkt me 'redelijk eenvoudig' te bruto-forcen.

ZpAz

Mobiele besturingssystemen
Apple iOS
Apple

@pietje63 • 25 mei 2011 10:40

Volgens mij gaat het om je account wachtwoord, die vul je met een toetsenbord in, die kan dus zo sterk zijn als je zelf wilt.

supersnathan94

Apple
Apple iPhone
Apple iOS

@pietje63 • 25 mei 2011 10:57

het standaard wachtwoord bestaat idd alleen uit 4 cijfers, maar je kan het ook aanpassen zodat je je telefoon kan unlocken met een zelfgekozen wachtwoord dat uit oneindig veel random karakters kan bestaan. dit is dus ongelofelijk sterk en veel beter dan alle andere telefoons (volgens mij heeft alleen blackberry zo'n systeem.)
edit: dat unlock patterns konden op een iPhone wist ik al hoor. moet alleen via een jailbreak. het is alleen de slechtste beveiliging ooit want iemand die een twitter update krijgt en die ff snel wilt lezen unlockt zijn toestel leest de tweet en lockt hem weer. kwestie van kijken waar de vingerafdruk begint en eindigt en je bent binnen. bij cijfers en letters moet je ook nog de volgorde weten en dat is dus veel lastiger vanwege de eindeloze combinaties. overigens heb ik nog niet veel android gebruikers met een code erop naast of in plaats van de pattern unlock.

maar sorry als ik het ff fout had hoor. hoef je niet gelijk zo aanvallend te doen.

[Reactie gewijzigd door supersnathan94 op 25 juli 2024 19:58]

Verwijderd @supersnathan94 • 25 mei 2011 12:44

Enkel Android, Symbian en WP7 hebben het ook. Oh wacht, 99.9% van de markt heeft het dus...
Bij Android heb je ook zoiets als unlock patterns. Wat bij Apple ook mogelijk is als je je oogkleppen durft af te nemen.

Verwijderd @nehal3m • 25 mei 2011 10:28

Kort antwoord: Ja
Lang antwoord: Als je niet een briefje op de achterkant van je telefoon plakt waarop je wachtwoord staat ben ik er vrij zeker van dat het vrijwel niet mogelijk is om de sleutel te kraken.

Je mag Apple dan wel in twijfel trekken door dat gezaag eerder over het versturen van locatie gegevens, maar je kan niet ontkennen dat ze er een hele boel moeite voor doen om hun systemen te beveiligen (wat ik ook niet meer dan redelijk vind).

nehal3m @Verwijderd • 25 mei 2011 10:34

Je mag Apple dan wel in twijfel trekken door dat gezaag eerder over het versturen van locatie gegevens, maar je kan niet ontkennen dat ze er een hele boel moeite voor doen om hun systemen te beveiligen (wat ik ook niet meer dan redelijk vind).

Dat heeft z'n voordelen, maar aan de andere kant kun je als gebruiker ook niet zien wat er wel en niet op je telefoon opgeslagen wordt. Dat kan alleen Apple (tot nu dan).

Ik zou het op prijs stellen als ElcolmSoft de formule voor encryptie gewoon openbaar maakt. Dat zal wettelijk wel moeilijk worden, maar dan kunnen we zelf ook zien wat er op onze telefoons staat. Dat lijkt me niet onredelijk.

curumir @watercoolertje • 25 mei 2011 10:25

Kom op zeg, wat is dit voor kolder!

Iets is niet gekraakt als je je wachtwoord moet afgeven om bij de gegevens te komen. Anders heb ik bij deze je email gekraakt, stuur me wel even je wachtwoord op...
Stuur me ook meteen je bankpas met pincode op, dan kraak ik die ook. En daarna loop ik ook even de kluis van de bank binnen, als ze 'm even voor me open maken.

willemd

@curumir • 25 mei 2011 10:34

Zonder deze kraak kon je zelf ook niet bij de gegevens, ook al had je je wachtwoord en uid.

supersnathan94

Apple
Apple iPhone
Apple iOS

@willemd • 25 mei 2011 11:01

tuurlijk wel. waar gaat het om:

locatiegegevens? drie weken geleden al verschillende mogelijkheden voor geweest
verwijderde SMSjes? tsja die stonden er eerst dus wel en die heb je dus ook al gelezen.
browsergeschiedenis? zelfde verhaal, gewoon te zien in safari en Opera mini.
alle andere data? het meeste heb je er toch echt zelf opgezet. alleen de systeembestanden niet, maar daar moet je ook helemaal niet aan willen komen.

maar ik geef curumir wel gelijk hoor. al deze dingen zou je in principe ook met alleen het wachtwoord kunnen zien. behalve de verwijderde SMSjes (systeembestanden zijn voor iedere telefoon wel hetzelfde dus die vallen af).

darkfader @nehal3m • 25 mei 2011 20:35

Ik vind dat ook geen kraken maar gewoon reverse-engineeren. Van het AES (of ander) algoritme zeggen we toch ook niet dat het gekraakt is omdat bekend is hoe het werkt.

ShellGhost 25 mei 2011 10:12

Daardoor werkt de methode alleen als de gebruiker zijn iOS-device en wachtwoord afgeeft. Systeembestanden op afstand uitlezen is vooralsnog onmogelijk.

Dus eigenlijk hebben ze nog niks...
Ik zie een crimineel namelijk niet z'n passworden zomaar geven aan justitie...

Verwijderd @ShellGhost • 25 mei 2011 10:13

Waar las ik dan laatst dat ze van plan zijn / hebben ingevoerd dat het verplicht is / wordt om encryptiewachtwoorden af te staan? Kan me zo voorstellen dat het uiteindelijk ook zover zal komen dat men met een gerechtelijk bevel ook die wachtwoorden mag opvragen.

Verwijderd @Verwijderd • 25 mei 2011 10:26

Ze zijn van plan dat je je wachtwoord moet afstaan als ze je ervan verdenken kinderporno op je pc of dergelijk hebt staan, ze kunnen dus niet zomaar even je wachtwoord eisen.

en ook al dwingen ze je, wat willen ze doen als je je wachtwoord niet geeft. het lijkt mij dat als je zegt dat je je wachtwoord bent vergeten ze je niet veel kunnen maken en je niet zomaar in jail kunnen gooien omdat je je wachtwoord "vergeten" bent. Iemand hier die mij duidelijk kan makkelijk wat voor belachelijk straf ik krijg als ik mijn wachtwoord niet wil afgeven.

dus ik snap ook niet wat het nut van deze gekraakte encryptie nou is als de overheid je wachtwoord nodig is om je iphone te kraken

, maar ik zal het hier waarschijnlijk wel ergens verkeerd hebben

ELD @Verwijderd • 25 mei 2011 13:17

Als je aangeeft dat je het wachtwoord bent vergeten, dan geeft dat direct aan dat jij de persoon bent die de encryptie heeft toegepast. Je bent daarmee direct vatbaar voor deze eventuele nieuw beoogde wet omdat de vraag dan wordt: heeft de verdachte inderdaad zijn wachtwoord vergeten of doet hij dit om ontlastend materiaal te verbergen. Ga encryptie ook niet ontkennen. Wanneer ze toch kunnen aantonen dat jij de persoon bent die de encryptie heeft toegepast dan heb je gelogen. Dit komt je geloofwaardigheid niet ten goede. Het is beter om helemaal te zwijgen. Dit laat de mogelijkheid open dat jij niet de gene bent die überhaupt encryptie heeft toegepast, het OM moet dan bewijzen dat je gebruik maakt van encryptie. Maak dus in alle situaties gebruik van je zwijgrecht (helemaal op het politiebureau.)

humbug @Verwijderd • 25 mei 2011 14:56

emand hier die mij duidelijk kan makkelijk wat voor belachelijk straf ik krijg als ik mijn wachtwoord niet wil afgeven.

In Engeland tot 5 jaar cel. In Nederland (nog) niets.

Zpottr @Verwijderd • 25 mei 2011 10:37

Ze zijn van plan dat je je wachtwoord moet afstaan als ze je ervan verdenken kinderporno op je pc of dergelijk hebt staan, ze kunnen dus niet zomaar even je wachtwoord eisen.

Dat betekent dus dat je in het vervolg meteen op een "verdenking" bezit kinderporno kunt rekenen. Is wel zo makkelijk voor justitie.

Verwijderd @Zpottr • 25 mei 2011 12:59

Nee, het moet namelijk wel een gegronde reden zijn.
Ze mogen dus niet zomaar zeggen, ja kinderporno/terrorisme dus geef maar hier...

Als ze een providerlog hebben waarbij via jouw IP bepaalde sites bezocht zijn waar wordt verhandeld in kinderporno of weet ik veel wat dan hebben ze bij de rechter een gegronde reden aan te nemen dat dit op jouw pc/iPhone/iPad/dinges aanwezig is.
De rechter zegt vervolgens dat jij je wachtwoord moet afgeven.

Maarja, dan tik jij "per ongeluk" 10 keer de verkeerde code in op je iPhone en dan wordt de inhoud van je telefoon alsnog gewist. Hebben ze er ook niets meer aan.

supersnathan94

Apple
Apple iPhone
Apple iOS

@Verwijderd • 25 mei 2011 11:02

klopt, maar de iphone heeft nog een leuk truukje. als jij instelt dat na 10 keer een fout wachtwoord gegeven wordt, wordt hij helemaal gewist. niet een beetje maar echt helemaal. knappe jongen die er dan nog wat informatie van afhaalt.

SED @supersnathan94 • 25 mei 2011 14:17

en dan bel je dus elcolmsoft

Verwijderd @Verwijderd • 25 mei 2011 10:19

Het eigenaardige aan criminelen is, dat die de neiging hebben zich niet zo nauw aan de wet tehouden.

Dylan93 @Verwijderd • 25 mei 2011 10:20

Ze kunnen zo veel gaan verplichten maar denk je dat hackers zich daaraan houden ? Ze overtreden uberhaupt al de wet dus die gaan echt niet luisteren als ze hun wachtwoord moeten afgeven.

Brambo84 @Dylan93 • 25 mei 2011 11:04

@Qurmo & Dylan93: Dus iedereen die zijn wachtwoord niet zal afstaan is per definitie crimineel?? Het zou het voor de overheid wel heel makkelijk maken: Iedereen moet het wachtwoord afstaan en degene die weigert moet de bak in. Want die zal wel iets verkeerd hebben gedaan.

3DDude 25 mei 2011 10:10

Nou heb ik toch liever niet dat deze techniek alleen toegankelijk is voor overheidsinstanties eigenlijk...

Hopelijk fixt Apple dit met IOS 5 weer wel..
Gelukkig is op afstand uitlezen niet mogelijk ^^

[Reactie gewijzigd door 3DDude op 25 juli 2024 19:58]

VortexD @3DDude • 25 mei 2011 10:55

Persoonlijk lijkt het mij beter als al die informatie gewoon voor niemand toegankelijk is, ook niet Apple.

stappel_ @VortexD • 25 mei 2011 11:00

persoonlijk denk ik dat apple allang toegang tot die gegevens heeft via een masterkey. en dat ze overheidsinstanties dat bij apple kunnen aanvragen

TDeK

Beveiliging

@stappel_ • 25 mei 2011 12:32

Lijkt me niet, anders was er totaal geen vraag naar de service die hier wordt gepresenteerd. De machthebbers hebben steeds meer moeite met het fenomeen encryptie, zeker omdat het vandaag de dag super simpel te gebruiken is en soms zelfs al af-fabriek enabled is. Vandaar dat in de VS marteling zijn intrede weer heeft gedaan (en in de UK staats-gijzeling (key niet afstaan = 5 jaar cel)).

ElcolmSoft zegt niet te willen dat de techniek in verkeerde handen valt en stelt deze daarom alleen beschikbaar aan overheidsinstellingen zoals geheime diensten.

Juist, want die zijn wel te vertrouwen..?

humbug @TDeK • 25 mei 2011 14:51

Ach, het scheelt weer 5 jaar in de cel in Engeland.

MadButcher 25 mei 2011 10:25

Ook vind ik encryptie een beetje vreemd, kost weer extra stroom.

donny007 @MadButcher • 25 mei 2011 10:33

Ook vind ik encryptie een beetje vreemd, kost weer extra stroom.

Die paar milliwatt heb je toch wel over voor je privacy en je digitale veiligheid?

[Reactie gewijzigd door donny007 op 25 juli 2024 19:58]

mddd @MadButcher • 25 mei 2011 10:50

Encryptie is belangrijk om bij het bedrijfsleven serieus genomen te worden. Je wilt niet hebben dat iemand zijn telefoon verliest en dat iemand zomaar alle gegevens kan uitlezen door de telefoon aan een computer te hangen. Om die reden is de data versleuteld opgeslagen in het flash-geheugen van de iPhone (overigens niet bij oudere modellen).

GlowMouse 25 mei 2011 10:58

In de bron staan wat opmerkelijke dingen die worden opgeslagen:
- text messages included deleted ones
- screen shots of applications being used
- Web site passwords
- Google maps and routes ever accessed
- everything typed on the iPhone
Dit was volgens mij allemaal nog niet bekend, maar wel een schokkend lijstje.

kmf @GlowMouse • 25 mei 2011 11:04

Als je een random pc nu pakt, dan kan je ook een hoop dingen ophalen.
Bestanden die "verwijderd" zijn maar eigenlijk in de recycle bin zitten. b
Browser cache en history
Spelling checker woordenboeken.
Laatst geopende bestanden.
Laatst gebruikte applicaties

Dus waarom is dat zo schokkend?

RMX @kmf • 25 mei 2011 11:17

Wat denk je zelf?
Waarom zou mijn telefoon mijn verwijderde SMSjes bijhouden?
Ik VERWIJDER ze toch?

Verwijderd @RMX • 25 mei 2011 13:36

we zitten hier op tweakers: Als je een bestand op de pc verwijderd, maar niet de schijf overschrijft staat het er ook gewoon nog op. Beetje data rescue pakket heeft het zo weer terug. Zou me niks verbazen dat dit bij smsjes ook zo gaat.

mashell @Verwijderd • 25 mei 2011 15:26

Ja, en vergeet niet het staat op flash, dat wil je gewoon niet te vaak schrijven. Dus echt wissen is slecht voor de levensduur van het apparaat.

kmf @RMX • 25 mei 2011 12:26

mddd in 'nieuws: Bedrijf claimt encryptie iOS 4 gekraakt te hebben'

Onileva @kmf • 25 mei 2011 11:24

Niet echt schokkend, behalve:

- everything typed on the iPhone

Dus je wachtwoord staat er ook tussen. Maakt dus niet uit hoe sterk/zwak het wachtwoord is.

kmf @Onileva • 25 mei 2011 12:31

Ja, mijn wachtwoord welke ik in de apps tik zal vast wel opgeslagen zijn. Net zoals mijn wachtwoorden voor websites in firefox.

En meneertje heeft heel leuk "everything typed on the iPhone" opgesomd. Het klinkt heel eng, een tweakersheadline waardig, maar de bron zegt:

and just about everything typed on the iPhone is being cached by the device.

Maar "just about" is niet gelijk aan alles.

Er wordt niet gespecificeerd wat er gecached wordt.

Onileva @kmf • 25 mei 2011 15:15

Dat is idd een cruciaal verschil

MadButcher 25 mei 2011 10:24

Ik denk dat als de amerikanen een iphone van een zware crimineel of terrorist zouden vinden, dat ze dan ook bij Apple kunnen aankloppen. Sterker nog, Apple kunnen dwingen. Hebben ze Elcomsoft niet voor nodig.

donny007 @MadButcher • 25 mei 2011 10:28

dat ze dan ook bij Apple kunnen aankloppen. Sterker nog, Apple kunnen dwingen. Hebben ze Elcomsoft niet voor nodig.

Hoe zou Apple dan het wachtwoord van de gebruiker moeten raden? Apple kan er niets aan doen, hooguit het algoritme voor de sleutelberekening afgeven, dan nog heb je de input van de gebruiker en gegevens van het apparaat nodig.

[Reactie gewijzigd door donny007 op 25 juli 2024 19:58]

mashell @donny007 • 25 mei 2011 15:24

Zou Apple via debug methoden geen toegang hebben tot de data, zonder het wachtwoord?

ZpAz

Mobiele besturingssystemen
Apple iOS
Apple

@donny007 • 25 mei 2011 10:38

En met dit systeem heb je alsnog het wachtwoord nodig. Dus dat schiet niet op?

Daardoor werkt de methode alleen als de gebruiker zijn iOS-device en wachtwoord afgeeft. Systeembestanden op afstand uitlezen is vooralsnog onmogelijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (132)

Sorteer op:

Weergave: