Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

Volgens beveiligingsonderzoekers kunnen kwaadwillenden gemakkelijk de beveiliging van Apples hotspot-functionaliteit op iOS kraken. De gegenereerde wachtwoorden zouden worden verkregen uit een standaard woordenlijst, waarbij het genereren tevens niet geheel random verloopt.

Dat ontdekten Duitse beveiligingsonderzoekers in een onderzoeksrapport waarover Security.nl bericht. Volgens de wetenschappers wordt het standaard wachtwoord dat Apple voor zijn mobiele hotspot-functionaliteit genereert verkregen uit een woordenlijst van 1842 woorden, waardoor de mogelijkheden voor wachtwoorden beperkt zijn. De keuze uit de samengestelde woordenlijst is tevens niet geheel random, wat er uiteindelijk voor zorgt dat kwaadwillenden binnen 50 seconden achter het ingestelde wachtwoord kunnen komen, aldus de onderzoekers.

De Duitse wetenschappers, die werkzaam zijn aan de universiteit van Friedrich-Alexander in Erlangen, hebben naar aanleiding van hun onderzoek een iOS-app gemaakt die het gemakkelijk maakt om andermans hotspot te kraken. De app genereert een lijst van mogelijke wachtwoorden die gebruikers kunnen proberen om andermans hotspot te kraken; in toekomstige versies van de app wordt deze methode waarschijnlijk geautomatiseerd.

Volgens de onderzoekers zijn andere mobiele platforms mogelijk ook vatbaar voor hackpogingen. Zo zou Windows Phone 8 eveneens zwakke wachtwoorden genereren. En hoewel er in Android standaard sterke wachtwoorden worden gegenereerd voor de hotspotfunctie, hebben sommige fabrikanten, zoals HTC, het algoritme verzwakt waardoor de gegeneerde wachtwoorden een mogelijk beveiligingsrisico vormen. Wel geven de Duitse wetenschappers toe andere mobiele platformen dan iOS niet goed onderzocht te hebben.

Het is onduidelijk in hoeverre de zwakke beveiliging van deze functionaliteit in iOS daadwerkelijk een probleem vormt: hotspots worden normaalgesproken tijdelijk opgezet, waardoor er voor aanvallers relatief weinig mogelijkheden zijn om dergelijke hotspots te kraken.

Moderatie-faq Wijzig weergave

Reacties (62)

Inmiddels zie ik in iOS 7 beta niet meer standaard wachtwoorden, maar een 12-karakter wachtwoord dat in de verste verte niet makkelijk te onthouden is. Ik zie dan ook een positieve wijziging t.o.v. iOS 6.
En wie laat nu trouwens zijn persoonlijke hotspot aanstaan? Verbruikt alleen maar energie, en wat dataverkeer..
Inderdaad. Ik gebruik het alleen als ik met mijn iPad onderweg ben, zodat deze ook een verbinding met het internet heeft. Zodra ik klaar ben, gaat de Personal Hotspot meteen weer uit. Daarnaast heb ik hem voorzie van een eigen wachtwoord en heb ik de iPhone meestal in me zicht, waardoor een extra verbinding opvalt. En aangezien ik het bijna exclusief in de auto gebruik, moet de hacker ook nog eens op me bumper rijden voor een verbinding. Kan ik hem meteen indentificeren.
maar een 12-karakter wachtwoord dat in de verste verte niet makkelijk te onthouden is. Ik zie dan ook een positieve wijziging t.o.v. iOS 6.
:P
Dat is ook meteen de grap van die gegenereerde wachtwoorden, wie gebruikt ze nou als ze zo onhandig zijn? Geldt ook voor Android, eigenlijk een nutteloze toevoeging.
wat is er daar onhandig aan? Ik gebruik dit al lang via 1password. Ik heb 1password op al mijn toestellen en ik ken geen enkel wachtwoord meer.

Net hetzelfde krijg je in OSX 10.9 en iOS7. Mensen moeten hun wachtwoorden niet meer kennen omdat ze via iCloud op alle toestellen te gebruiken zijn.

Het enige zwakke punt hier in is dat niet iedereen zijn Mac of iPhone/iPad vergrendeld en dat is wel een must met zo'n systeem.
En hoe zit dit met mensen die een eigen wachtwoord opzetten?
Zoals het artikel duidelijk zegt gaat het hier om de standaard wachtwoorden. Als je zelf een sterk wachtwoord bedenkt ben je veilig.

Een methode om veilige wachtwoorden te kiezen, is een combinatie van letters (kleine letter en hoofdletter), cijfers en leestekens. Dit bemoeilijkt het raden omdat er veel meer mogelijkheden zijn. Deze combinaties zijn vaak moeilijk te onthouden en moeilijk om in te geven op draagbare toestellen. Voorbeelden zijn "SleJnn12][" of "qSK12$%j".

Een andere mogelijk is een lang wachtwoord opgebouwd uit gewone letters. Een eenvoudige manier om een dergelijk lang wachtwoord te kiezen, is een zin van een aantal willekeurige woorden. Bijvoorbeeld "gsm laptop kredietkaart". Dit is een wachtwoord dat eenvoudig te onthouden is, maar door de 23 karakters toch moeilijk genoeg is om aanvallen af te slaan.
Ik neem wat wachtwoorden betreft toch vaak graag de XKCD comic erbij als voorbeeld.

http://imgs.xkcd.com/comics/password_strength.png

Wat je zegt is waar, maar de reden om voor een lang wachtwoord met extra tekens te kiezen tegenover een lang wachtwoord zonder al die ingewikkelde tekens is niet heel sterk. Zeker als de 'hacker' niet weet welke tekens je hebt gebruikt maakt dit weinig tot niks uit in het totale plaatje van aantal mogelijkheden.

edit: Krom taalgebruik.

[Reactie gewijzigd door EGM360 op 17 juni 2013 21:18]

Voor info over hoe crackers te werk gaan en hoe je dus een sterk wachtwoord kan kiezen:

http://arstechnica.com/se...at-out-of-your-passwords/
Dit heb ik inderdaad gelezen, zelf zit al een tijdje in de 1Password bubble en heb ik dus mijn meeste ww's in de range van de 35 karakter random strings zitten.
In die comic noemen ze 'correct horse battery staple' een goed wachtwoord, maar dat is toch hartstikke vatbaar voor dictionary attacks?
Ik denk dat, als er een dictionary attack met 1000 pogingen / second op losgelaten wordt, het zomaar minder dan 3 dagen kan duren ...
1000 pogingen per seconde voor 3 dagen. Als je dat terugrekent, dan kom je op een woordenboek met maar 129 woorden. XKCD rekent met +/- 2000 woorden om uit te kiezen en komt dan dus al op 550 jaar.

Een woord in een wachtwoordzin is niet anders als een alfabetkarakter in een normaal wachtwoord. Alleen zijn er veel meer woorden dan karakters, waardoor je zelfs met een zin van 4 random woorden al een veel sterker wachtwoord hebt.

Tenzij jij een dictionairy hebt met daarin veelvoorkomende combinaties van woorden. Dat zou het equivalent zijn van een dictionary met veelvoorkomende woorden (=combinaties van karakters).
Vergeet niet om WPS uit te zetten in je router. Sommige routers zijn op dit front binnen een paar uur te kraken omdat ze bruteforce niet tegenhouden: http://code.google.com/p/reaver-wps/. Let op, alleen gebruiken op je eigen netwerk voor test doeleinden.
Voor een Chinees is dit natuurlijk klaar als een klontje. Als zij een paswoord van 8 willekeurige karakters gebruiken is dit vrijwel onmogelijk om te kraken.
De beste methode vind ik nog altijd gewoon om een zin te kiezen met een naam,getal en een leesteken erin en vervolgens pak je van elk woord de beginletter en het getal en leesteken.
Bijvoorbeeld:
Op kerstmis (25 december) werd Jezus geboren.

dan wordt het wachtwoord:
Ok(25d)wJg
En dat is dus NIET goed, zoals de comic overduidelijk laat zien gaat het niet om wat voor tekens je gebruikt maar de lengte...

Alleen een dictionary attack zal jouw wachtwoord niet echt pakken maar een normale brute force net zomakkelijk als ELK 10-letterig wachtwoord ongeacht of dat aaaaaaaaaa is....

[Reactie gewijzigd door watercoolertje op 18 juni 2013 09:21]

Volgens mij zijn er niet zoveel dictionary attacks die meerdere woorden met spaties ertussen proberen...
Plus, al zou je op deze manier een dictionary attack uitvoeren, is het waarschijnlijk nog steeds veiliger dan een gewoon wachtwoord.
De bit-entropy van een woord is ongeveer 8 bit (1).
Met vier woorden heb je dus ongeveer 32 bits entropy. Dat is minder dan de 44 die in de comic genoemd wordt, maar nog steeds meer dan een standaardwoachtwoord.


(1) http://acl.ldc.upenn.edu/P/P02/P02-1026.pdf

[Reactie gewijzigd door R.ik op 17 juni 2013 21:20]

Als je het niet vertrouwt kun je het ook in je eigen dialect typen (moet je wel dialect kunnen spreken natuurlijk).

good paerd batterie nietje (Limburgs)

Moet je toch wel een behoorlijke dictionary hebben wil je ook dat (een taal zonder echt vaste spellingsregels, schrijf het zoals het klinkt) nog erin hebben...
Maar hoe weet de aanvaller dat hij alleen maar een woordenboek hoeft te gebruiken en hoeveel woorden het zijn, of er tekens tussen staan, etc? Je gebruikt nu voorkennis om vast te stellen dat als je de goede methode zou gebruiken, het niet zo lang zou duren. Het punt is een wachtwoord te gebruiken dat in principe veilig is én makkelijk te onthouden. Daarnaast hoef je je niet 100% aan de regels te houden: je kunt er ook Flozhorsebatterystaple van maken o.i.d.
Een andere mogelijk is een lang wachtwoord opgebouwd uit gewone letters. Een eenvoudige manier om een dergelijk lang wachtwoord te kiezen, is een zin van een aantal willekeurige woorden. Bijvoorbeeld "gsm laptop kredietkaart". Dit is een wachtwoord dat eenvoudig te onthouden is, maar door de 23 karakters toch moeilijk genoeg is om aanvallen af te slaan.
Dit is natuurlijk niet helemaal waar, wanneer je een wachtwoord met enkel bestaande woorden neemt ben je weer kwetsbaar voor dictionary attacks, wanneer ze lijsten met woordcombinaties afgaan. Het veiligst blijft een lang wachtwoord met cijfers en letters en als je dan genoeg afwisselt kan in zo'n lang wachtwoord prima een of twee woorden.
Als je de comic gelezen had zie je dat zo`n wachtwoord helemaal niet zo vatbaar is voor dictionary attacks.
Wanneer je 4 willekeurige woorden achter elkaar zet duurt het afgaan van zo`n een lijst ook heel lang. En omdat mensen gewoon veel beter zijn in het onthouden van woorden is dat veel gemakkelijker.
Als je echt paranoïde bent kun je ook meer worden nemen:
Stel nu je neemt enkel woorden uit een lijst van 10.000 woorden (je wilt natuurlijk geen te lange woorden en woorden die je kent nemen, 10.000 moet zeker mogelijk zijn), dan heb je met 10 woorden 10.000^10 combinaties, wat ongeveer evenveel is als 2^133. Met 10 woorden heb je dus een wachtwoord dat moeilijker geraden kan worden als een aes-128 key. En bovendien veeel makklijker te onthouden dan een 128-bit key...
Ja, is er in Android überhaupt de mogelijkheid om een automatisch gegenereerd wachtwoord te kiezen? Ik heb mijn eigen wachtwoord gekozen (overigens ook gemakkelijk te raden) en heb nooit iets voorgegenereerds gezien.
Als je nooit een eigen wachtwoord ingesteld hebt dan is er een random wachtwoord ingevuld.
Je kan ook op OOB (reset) klikken in versie (4.2.1) en dan krijg je een nieuw random wachtwoord.

Het zou misschien wel handig zijn als het OS een melding geeft als er een nieuwe gebruiker inlogt, dat valt in ieder geval op.
Hoewel een wachtwoord natuurlijk het belangrijkste blijft.

Overigens kan je onder Android het aantal gebruikers ook limiteren, dat zou ook kunnen helpen, staat standaard op 5.

[Reactie gewijzigd door Soldaatje op 17 juni 2013 20:17]

Het zou misschien wel handig zijn als het OS een melding geeft als er een nieuwe gebruiker inlogt, dat valt in ieder geval op.
Hoewel een wachtwoord natuurlijk het belangrijkste blijft.
Bij touchwizz krijg ik inderdaad netjes een melding als ik me tablet met mijn telefoon connect :)
Uit het artikel op te maken gaat het alleen om de automatisch gegenereerde wachtwoorden.
Tja, de kans dat je dit ook daadwerkelijk toe kan passen is niet heel erg groot lijkt me.

Ik heb jaren lang in de trein gebruikt gemaakt van de iOS hotspot functionaliteit en heb in al die tijd geen enkel ander iOS hotspot WIFI netwerk gezien.

En stel de hotspot is gekraakt, wat kan een hacker dan daarmee doen?
Als een kwaadwillende via jouw hotspot even snel een nieuw gmail account aanmaakt en via dit e-mail account een doodsbedreiging stuurt naar Geert van de PVV, dan denk ik dat jij binnen 24 uur op het politieburo zit uit te leggen dat je van niets weet.
De kans dat iemand daarvoor de kans krijgt is toch niet zo groot? Wanneer jij verbinding maakt met mijn hotspot komt er mooi op mijn telefoon te staan dat er 2 gebruikers actief zijn.

Op dat moment kan je aannemen dat de meeste mensen de verbinding stop zullen zetten.
maar heb jij het over iOS, of een ander OS...
daar zit volgensmij het verschil...
Nee op iOS bedoeld hij, je krijgt altijd in beeld bovenin in een blauwe balk te zien hoeveel mensen verbonden zijn met je hotspot, of ze nu mee kijken, sniffen etc... het gaat om het aantal actieve verbindingen.
Heb jij continue je scherm aan staan dan als je telefoon als hotspot is ingesteld?
De kans dat iemand daarvoor de kans krijgt is toch niet zo groot? Wanneer jij verbinding maakt met mijn hotspot komt er mooi op mijn telefoon te staan dat er 2 gebruikers actief zijn.

Op dat moment kan je aannemen dat de meeste mensen de verbinding stop zullen zetten.
Maar wellicht kijken ze alleen met je mee (volledig passief). Dan heb je toch een probleem, want lang niet alles wat je over de lijn stuurt wordt versleuteld. Nu zal jij wellicht de uitzondering zijn die alles over een VPN pushed, maar dat doen de meeste mensen niet.
nooit afgaan op eigen assumpties.
Jij bent een allesweter ofzo?

Is het zo moeilijk in te beelden dat iemand zijn smartphone in z'n broekzak laat zitten (en er dus niet naar kijkt) omdat ie op dat moment met een tablet zit te tetheren naar diezelfde smartphone?

Jongens toch... 8)7
Dan zeg je, "waarschijnlijk is mijn Wifi-hotspot gekraakt", en klaar!
Gebruik maken van jouw 3g/4g verbinding.
Zeker zonder limieten wil je dit niet.
De meeste providers sturen een sms als je over een bepaald percentage van je bundel heen gaat. Dus zeggen dat je het niet wist dat je over je bundel heen bent gegaan is best wel dom tegenwoordig.
Die smsjes worden niet direct verstuurd. Daar zit makkelijk een dag tussen. Als je in de ochtend over de 80% gaat, krijg je meestal 's avonds pas een sms
(de servers verwerken de data namelijk niet realtime)
En heeft die andere dus alsnog gratis internet op jouw kosten. Of je het nou uiteindelijk door hebt of niet doet daar toch niet zo veel aan af? Daarbij is je dataverkeer dan vaak al vrijwel op...

Niet dat ik denk dat er uberhaubt misbruik van gemaakt wordt...

[Reactie gewijzigd door watercoolertje op 18 juni 2013 09:29]

Surfen, dat is het ongeveer. Eventueel ook aan data op de andere computers verbonden met de hotspot, maar ik vermoed dat de meeste telefoon-hotspots wel voorzien zijn van client isolation waardoor dat niet mogelijk is.
maar ik vermoed dat de meeste telefoon-hotspots wel voorzien zijn van client isolation waardoor dat niet mogelijk is.
Bij mij wordt het gewoon een netwerk, gebruik het wel is met 2 laptops en dan kunnen die laptops elkaar netwerkshares gewoon benaderen en met/tegen elkaar gamen :)

Edit: Op mijn telefoon draait een FTP server die is ook gewoon te benaderen trouwens...

[Reactie gewijzigd door watercoolertje op 18 juni 2013 09:31]

Die laatste vraag is zo verschrikkelijk verkeerd.
Baseer je nooit op je eigen gebrek aan verbeelding/creativiteit, dat is het domste wat je kan doen.
Het ligt juist in de definitie van een goede hacker om het nut van vulnaribilities te ontdekken.

Een gekraakte hotspot is een eerste schakel in een heuse ketting van potentiële slordigheden en dan ben je vlugger bij interessante zaken dan jij zelf nu kan inschatten.

Het begint dikwijls met "nou, welke haan gaat hier nu naar kraaien?".
Niet slim dus.
Heel makkelijk. Hij heeft dan een directe netwerk verbinding met je iOS device. Hij kan dan een exploit die in de laatste over the air jailbreak zit gebruiken om je iOS device te hacken, een dump te makend van je adres boek, sms-jes, emails,etc. binnen een minuut is dus je hele telefoon leeg te trekken.

Th3j34t3r heeft dit vorig jaar al gedaan met een webkit exploit; het zou je verbazen hoe makkelijk je data toegankelijk is.
Het is onduidelijk in hoeverre de zwakke beveiliging van deze functionaliteit in iOS daadwerkelijk een probleem vormt: hotspots worden normaalgesproken tijdelijk opgezet, waardoor er voor aanvallers relatief weinig mogelijkheden zijn om dergelijke hotspots te kraken.
Inderdaad. Wil je veilig zijn: gebruik geen default wachtwoorden. Daarnaast: wie tethert er nou langer dan 10 minuten? Personal hotspot is echt zo'n niche-toepassing, dat is nauwelijks een aanvalvector. Het wachtwoord is vooral om te voorkomen dat de persoon naast je in de trein/op het terras op jouw "open" wifi inlogt.

Als je echt staatsgeheimen gaat doorsturen, dan mag je je ook wel even de minuut verdiepen in hoe je een sterk wachtwoord instelt. Vanuit corporate beheer van apparaten kan dat gewoon door middel van een policy/provisioning profiel.
Het gaat allicht niet om uitlekkende geheimen, maar om terroristen en kinderpornografen die al tetterend jouw verbinding gebruiken om de AIVD of de NSA wakker te laten schieten uit een saai dagpatroon van data-analyse. Dan ben jij als onschuldige Applebezitter opeens degene die verantwoording mag afleggen.
Dat zouden de terroristen en pedo's juist vaker moeten doen: inloggen via andermans (mobiele) hotspot en dan via clearnet illegale dingen doen, betekend dat je juist makkelijk te traceren bent. Kwestie van undercover agenten met een mobiele hotspot op diezelfde locaties neerzetten voor een tijdje en dan maar wachten tot er iemand 'hapt'.
Lijkt mij dat zo'n soort persoon eerder bij een McDonalds gaat zitten dan te proberen een password te raden van een toevallige voorbijganger die bij het volgende station al de trein uit stapt...
[...]
Daarnaast: wie tethert er nou langer dan 10 minuten?
Dat jij het niets vindt, wil niet zeggen dat niemand het doet ...

Ik gebruik het wekelijks, als ik in Belgie ben, om de telefoon en ipad van mijn partner op internet te laten gaan, omdat ik een roamingbundel heb, en zij niet.
Die 500MB/m zijn op die manier een fijne toevoeging aan mijn abo....
Stel dat er iemand bij je in de buurt zit die met je hotspot verbind, dan moet diegene ook bij je in de buurt blijven en dan kan je altijd nog op je iPhone zien hoeveel clients er verbonden zijn.

Maar ik neem ook aan dat de meeste een eigen password kiezen.
De mensen die weten wat een personal hotspot is en deze gebruiken weten voor een groot deel ook wel dat je het standaard wachtwoord beter kunt veranderen me dunkt. Maar dan nog vind ik het wel slordig dat er niet voor iets meer entropy is gekozen.
Wat is het probleem, je kunt ten eerste gerust een eigen wachtwoord kiezen, en de gemiddelde smartphone gebruiker (iOS, Android, WP7/8) zal de hotspot functie alleen aan hebben staan als hij of zij daar zelf, of iemand anders tijdelijk gebruik van wilt maken.

Ik vind dit een storm in een glas water.

Edit:

Even geprobeerd in iOS7, je kunt minimaal 52 tekens (twee keer het alfabet) als wachtwoord instellen als je dat nodig vindt, wat dus 8 karakters langer is dan het grappige (en oude) plaatje waar EGM360 aan refereert. Knappe jongen die daar nog doorheen komt in dat half uurtje dat zo'n hotspot aanstaat..

Zoals meestal is beveiliging net zo verstandig als de persoon die deze gebruikt...

[Reactie gewijzigd door ScoeS op 17 juni 2013 20:34]

Voor dit soort gegenereerde wachtwoorden bestaat een vakterm: "gegeneerde wachtwoorden"

@SvenUilhoorn hierboven: Ja en nee. Een wereld zonder beveiliging is een utopie, en kan je met hersenspoeling noch strenger straffen bereiken en ook door het goede voorbeeld te geven kom je hooguit halverwege (samengevat: de heilstaat kan per definitie niet bestaan). Wel heb je een zeer goed punt betreffende flitsen, parkeren (overigens zijn parkeerboetes vaak naheffingen), etc.: Als de overheid op geïnstitutionaliseerde wijze geld van jou klopt of jat, of als er weer eens torenhoge beloningen tegenover slechte prestaties staan, is het moreel nauwelijks meer een probleem als je zelf ook meedoet aan die verelendung. Slecht voorbeeld doet slecht volgen. Wat betreft educatie en persoonlijke ontwikkeling ben ik het volledig met je eens, maar het is niet in het belang van de zittende kliek om ontwikkelde kiezers te hebben.

[Reactie gewijzigd door mae-t.net op 18 juni 2013 00:34]

Niets nieuws hier, puur afhangkelijk van het gebruiker. Een complexe wachtwoord eisen via het interface is sowieso niet handig voor het gebruiker. Wat wel handig kan zijn (default instelling): geen verbinding -> hotspot uitzetten binnen x aantal tijd, uitraard de user het mogelijkheid geven om dit functionaliteit uit te zetten.
Sorry, beetje off-topic, maar het kostte me echt héél veel tijd om door je bericht te komen.

Eerlijk is eerlijk: dat dít zo gemakkelijk is maakt helemaal niet uit, vraag me af of zulke functies ooit gebruikt worden!
Hoezo - iOS onveilig? Dat kan toch niet - toch wel 't is net zoals elke andere software door mensen geschreven. Mensen die fouten maken. En die fouten, als ze gevonden worden, kunnen af en toe ernstig zijn. Niks abnormaals aan. Ook Apple is niet bovenmenselijk - al besteden ze mogelijks iets meer zorg dan andere concullega's die nog meer en nog sneller lanceren.
Heb je het wel gelezen? Er is niets onveiligs. Het gaat over standaard paswoorden. Wie gebruikt dat nu?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True