Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties
Submitter: nanoChip

Een nieuwe bug in de laatste stabiele iOS-versie, 7.1.1, maakt het mogelijk om onder bepaalde omstandigheden het lockscreen te omzeilen, ook als een gebruiker een code heeft ingesteld. De implicaties zijn beperkt: alleen de app die openstond is te gebruiken.

De bug in iOS 7.1.1 is naar eigen zeggen ontdekt door Apple-videoblogger EverythingApplePro. De lockscreen-bypass werkt enkel als de iPhone onlangs een gemiste oproep heeft gehad. Ook moeten het Control Center en de notificaties vanuit het lockscreen te benaderen zijn. Standaard is dat zo, maar gebruikers kunnen die functionaliteit desgewenst uitschakelen.

De bug kan worden gebruikt door de vliegtuigmodus aan te zetten en vervolgens vanuit het notificatiesysteem op de gemiste oproep te tappen. Vervolgens komt de gebruiker terecht in de app die openstond op het moment dat de telefoon werd vergrendeld. Alle functionaliteit van de app is te gebruiken, maar het is niet mogelijk om andere applicaties te benaderen. Als op het moment van vergrendelen het springboard, het startscherm van iOS, openstond, kan de gebruiker alleen door de lijst met apps bladeren.

Volgens 9to5Mac is de bug gedicht in iOS 8, maar de nieuwste iOS 7-release is nog wel kwetsbaar, zo heeft Tweakers kunnen verifiëren. Op dit moment is iOS 8 er enkel nog als bèta; de stabiele release volgt pas over een paar maanden. Gebruikers kunnen zich wapenen tegen de bug door de optie dat het notificatiecentrum of het Control Center vanuit het lockscreen kan worden benaderd, uit te schakelen, of door naar het homescreen te navigeren voordat ze de telefoon vergrendelen.

Apple heeft vaker last gehad van lockscreen-bugs in iOS. Zo bevatte iOS 7 er twee, waarmee gebruikers onder meer zonder de passcode in te voeren konden bellen en foto's konden benaderen.

Moderatie-faq Wijzig weergave

Reacties (66)

De bug werkt trouwens niet als je geen app op de voorgrond hebt staan als je de telefoon locked.
Nu lijkt ook dit een bug te zijn die niet een heel ingrijpend gevaar is, maar als ik het niet mis heb is het al zo'n 6 of 7 iOS-versies zo dat het vergrendelscherm op de een of andere manier te omzeilen is. Ik begin nu echt de indruk te krijgen dat de vergrendeling op de iPhone zo lek als een mandje is.
Niet zo heel ingrijpend? Je kunt in de laatste app komen die je open had staan. Dat is, afhankelijk van de app, hl ingrijpend.

Denk aan social media, bankzaken, e-mail, etc.
Net even getest en je kan inderdaad je bankzaken gewoon inzien door middel van de bug. In dat geval is het inderdaad een hele ingrijpende bug.

Echter kwam ik er daardoor achter dat de geopende app niet 100% functioneel is. Via de ING app kon ik immers door middel van de juiste wachtwoord geen geld overmaken nadat ik de app via deze bug had benaderd. Hij bleef stug aangeven dat het wachtwoord verkeerd was.
Sluiten bank apps zich niet automatisch af na een zekere tijd dat de app inactief is, ook al runt de app zelf nog? Dus tenzij de gebruiker nog maar net de bank app gebruikt heeft en je da de bug toepast lijkt het me niet echt haalbaar. Dit is toch het geval voor KBC en BNP Paribas Fortis op Android.
Voor een deel moet je dat ook de bank apps dan aanrekenen. Naar mijn idee moet je bank app zodra je hem suspend direct weer om te toegangscode vragen. Ik weet uit ervaring dat dit niet ingewikkeld is om te maken.

Je wilt immers niet dat je lockscreen in de basis je bankzaken moet beveiligen (al is het maar je saldo inzien). Het verrast me niet dat de ING app dit niet doet, niet echt mijn favoriete bank.

Ik snap het dilemma wel waar Apple mee zit. Je wilt voldoende mogelijkheden bieden vanuit een gelockt scherm maar moet aan de andere kant goed zien af te bakenen hoe ver je in die modus mag gaan. In iOS 8 is dit nog laster voor ze vanwege nog meer mogelijkheden in het lockscreen.
Daar heb je helemaal gelijk in. Ik noemde de bug "niet heel ingrijpend" vanuit het oogpunt dat wanneer de gebruiker van de iPhone ervan op de hoogte is, hij zich er makkelijk tegen kan wapenen. Maar ik ben het 100% met je eens dat het voor de argeloze gebruiker een heel schrijnend gevaar is en een ontzettend kwalijke zaak.
Helaas is het gros van de gebruikers argeloos ;)
Ondanks dat het natuurlijk niet hoort te kunnen is het effect van deze bug natuurlijk niet hl ingrijpend. Een bank applicatie vraagt (alle die ik ken in ieder geval) al opnieuw om je pincode op het moment dat je in het multitask menu geweest bent(en dus niet eens per definitie een andere app geopend hebt).
De vergrendeling op de iPhone is zo lek als een mandje by design. Gebruikers willen nou eenmaal graag foto's kunnen maken zonder hun passcode in te voeren, mensen kunnen terugbellen zonder passcode in te voeren, etc. Al dit soort eisen maken een bug zoals deze een stuk minder ingewikkeld dan het geval zou zijn bij 'een simpel lockscreen'.
Het is in iOS 8 al gedicht.. dus dat is een kwestie van tijd! (Misschien kunnen ze het snel porten naar iOS 7 ook).... maar, het blijft wel enorm slordig dat dit telkens gebeurt.
Misschien moeten ze de hele security structuur van het lockscreen eens goed onder de loep nemen.... want dit komt best knullig over telkens.
Ze zullen het sowieso moeten oplossen op iOS7.
iPhone 4 owners kunnen niet upgraden naar iOS8 en momenteel is iOS7 nog altijd het huidige systeem.
Je kan niet voor altijd oudere devices blijven ondersteunen. De iPhone 4 is alweer 3.5 jaar op de markt en al opgevolgd door de 4s, 5 n 5s. Ik ken fabrikanten (een zekere Koreaanse concurrent van Apple bijvoorbeeld) die hun devices minder lang ondersteunen en van al dan niet essentile security updates voorzien :+
Ze hebben met een eerder lek toen iOS 7 al uit was toch ook nog een update voor iOS 6 uitgebracht, dus zeker niet ondenkbaar.
Mits het aantal gebruikers groot genoeg is (zie mijn reactie op Soulshaker) :) Ik weet niet hoe de situatie toen was, maar ik kan me voorstellen dat het aantal iOS 6 gebruikers toen nog relatief groot was.
Natuurlijk kunnen ze blij zijn met de ondersteuning die ze tot nu toe hebben gehad, maar zo'n relatief kleine bug moet niet te veel gevraagd zijn - de support is officieel ook nog niet afgelopen voordat iOS 8 uitkomt en zelfs dan zouden ze nog zulke dingen patchen (wat ze voorheen volgens mij ook wel eens gedaan hebben)
Kijk, het kn natuurlijk altijd; en je moet niet van tevoren dingen gaan uitsluiten want misschien komt er nog een update voor iOS 7 voordat iOS 8 gereleased word. Maar het kan ook zijn dat Apple weinig zin meer heeft om de iPhone 4 nog langer te ondersteunen (zie ook mijn reactie op Soulshaker hierboven).
Zou kunnen dat ze er klaar mee zijn maar het is voor hun een kleine moeite (gezien het in 8 is opgelost) en ze kunnen het wel mooi gebruiken als weerwoord tegen Samsung

Los daarvan, iOS 6 kreeg nog een beveligings-update toen iOS 7 uit was

Ik heb ook wel het idee dat veel mensen afstappen van iPhones en dit soort dingen kunnen toch een doorslag geven
Niemand heeft berhaupt nog bevestigd of iOS 7 wel of niet meer gepdatet word en of deze bug dan ook geplet is; laten we dat even in acht houden voordat de discussie uit de hand loopt :)

P.s. Wat is je bron voor je bewering dat veel mensen afstappen van de iPhone? Of is het iets wat je persoonlijk ervaart -puur uit nieuwsgierigheid-.
Het staat natuurlijk nooit vast of er een update komt te ja of te nee maar je mag bepaalde dingen natuurlijk wel verwachten - de bug is niet in iOS 8 aanwezig dus het kan betekenen dat ze hem hebben ontdekt en opgelost f ze hebben het met puur toeval opgelost

De bewering dat mensen afstappen is puur persoonlijke ervaring; de meeste mensen die ik spreek vallen toch voor de gimmicks als air hover ed. (het kleine scherm van de iPhones speelt ook wel een rol)
Mijn ervaring is juist dat veel mensen overstappen van Android naar een iPhone doordat Android vol gebakken lucht zit (d.w.z. fabrikanten die bloatware meeleveren, mogelijkheden die bijna niemand ooit gebruikt of slecht functioneren) en afwerking van de UI, veiligheid en ga zo maar door). Maar ja, het is maar net hoe de eindgebruiker iets ervaart wat zijn keuzes bepaald..
Hm, moet zeggen dat ik daar toch wat blij mee ben omdat ik het de android fabrikanten niet meer gun omdat ze inderdaad vol gebakken lucht zitten; ik denk alleen niet dat ik naar een iPhone zou kunnen overstappen - wellicht ook
Ik denk dat de iPhone met iOS 8 zeker een interessante optie is voor mensen die hun twijfels beginnen te krijgen aan Android, omdat iOS 8 al een stuk meer open is.. Custom toetsenborden, gegevens delen tussen apps, widgets in het notificatie centrum en het voordeel van een OS wat geschreven is voor specifieke hardware en altijd de laatste updates. De spookverhalen dan een iPhone zo duur is valt ook wel mee als je gaat vergelijken met high-end Android toestellen en apps kosten vaak ongeveer hetzelfde in de App Store als in de Play Store :)

edit: Oh ja, ook niet geheel onbelangrijk: Apple verzamelt nauwelijks persoonlijke gegevens voor reclame doeleinden; adverteerders die gebruik maken van iAd klagen dat Apple niet genoeg gegevens met ze deelt :) en dat is precies de reden dan Android gratis kan zijn en dat je iets meer betaald voor een iPhone.

Bron: http://www.iphonehacks.co...ict-privacy-settings.html

[Reactie gewijzigd door biteMark op 13 juni 2014 09:49]

Klopt, maar mijn reactie was eigenlijk niet specified naar iPhone 4 gericht.
In principe is iOS7 nog het huidige OS, dus zou dit up-to-date moeten gehouden worden.
Maar natuurlijk is dit allemaal speculatie en zullen we pas zeker zijn wanneer er daadwerkelijk een update is.
Ik denk (pure speculatie) dat er nog wel een update voor iOS 7 komt, maar dat men bij Apple eerst wil wachten totdat er meer bugs en veiligheidslekken bekend zijn want anders blijf je aan het updaten ;)
Is geen excuus maar wel een reden. Als je kijkt naar de getallen, dan zie je dat de iPhone 4 niet meer heel veel gebruikt word: in de USA is slechts 20% van de iPhones een iPhone 4, en dat is slechts in de USA; het is te verwachten dat de statistische populariteit van nieuwere modellen in Europa groter is (bron: http://appleinsider.com/a...-highest-5c-adoption-rate). Als je rekening houdt met het feit dat abonnementen een beperkte looptijd hebben en veel gebruikers dus binnen afzienbare tijd overstappen naar nieuwere modellen, dan zal je begrijpen dat het aantal iPhone 4 gebruikers drastisch zal dalen in de aanloop naar de release van de iPhone 6.
Zeg dat maar tegen alle fabrikanten van Android-toestellen. :P
Ik ben het met je eens, het is geen excuus, maar wel de gebruikelijke gang van zaken bij hardware/software. Daarnaast heeft de koper van zo'n toestel maar 1 keer betaald en kan die niet eeuwig updates blijven verwachten. Dan ben je bij iOS nog relatief goed af.
"Enorm slordig"? Dat is volgens mij toch wat overdreven. Het is namelijk vrijwel onmogelijk om iets zinnigs te doen met deze bug. Stel je vindt een vergrendelde iPhone en je wilt bij de informatie die daar op staat. Dan moet je dus eerst het nummer ervan achterhalen en er naartoe bellen (of je moet de mazzel hebben dat iemand anders dat toestel al heeft gebeld). Dan moet je hopen dat het control center aan staat en vervolgens deze bug exploiteren. En dan nog kun je alleen maar bij de app die openstond op het moment van vergrendelen (Dat weet je dus niet vantevoren).

Dus ja, het is een foutje, maar in de praktijk is de impact op gewone gebruikers en het risico dat er gevoelige informatie lekt of dat er kan worden gebeld op kosten van een ander, heel laag.

En daarbij begrijp ik niet waarom dit een compleet nieuwsbericht waardig is. Er moeten tientallen van dit soort fouten in Android zitten, maar daar verschijnen geen artikelen over...
Misschien moet je dan eens beter opletten:

http://tweakers.net/nieuws/88095/lek-in-lockscreen-geeft-kwaadwillende-toegang-tot-sony-xperia-z.html
http://tweakers.net/nieuws/87646/ook-samsung-galaxy-note-ii-heeft-lockscreen-bug.html

Echter omdat veel fabrikanten telefoons aanpassen is dit vaker fabrikant specifiek of zelfs toestel specifiek. Ook is wel bekend geraakt dat bijvoorbeeld de face recognition unlock makkelijk om de tuin is te leiden.

Aangezien de android lockscreen bugs dus ook gewoon gemeld worden waarom mag dti van jou dan niet?

Verder mag je van mij ook wel eens bronnen geven voor deze claim van jou:
Er moeten tientallen van dit soort fouten in Android zitten
Het grote verschil van iOs met android is dat deze bug bij vrijwel alle gebruikers terecht komt van de iphones. En vanwege de versnippering, en aangepaste interfaces en het niet updaten van toestellen naar nieuwere android versies door fabrikanten is het aantal mogelijke slachtoffers vaak wat beperkter bij android toestellen.

[Reactie gewijzigd door Vastloper op 10 juni 2014 16:46]

Zonder ADB-Debugging of custom recovery met open deuren is Android heel slecht te kraken.
Het eerste wat veel mensen doen als ze hun telefoon kwijt zijn is hun eigen nummer bellen; los van het feit of je nou superveel kunt met de telefoon, hij wordt vrij vroeg toch wel gebelt
En daarbij begrijp ik niet waarom dit een compleet nieuwsbericht waardig is. Er moeten tientallen van dit soort fouten in Android zitten, maar daar verschijnen geen artikelen over...
Gefeliciteerd, je hebt het in de 2e post alweer een fanboy aangelegenheid gemaakt en roeptoetert maar wat raak.
@Philipsfan:
Volgens mij is 't idee en gemak van 1 (overpriced) toestel waar Apple voor kiest dat je deze fratsen voorkomt. Maar de laatste tijd heeft Apple er toch een handje van er een zooitje van te maken. Naast bugs vind ik iOS7 nog steeds vrij karig draaien.

Een veiligheidslek wordt gewoon gemeld, ongeacht IE, Android of Apple. Mooi is dat toch dat op de 1 of andere manier "Apple" dan ineens heilig is en fouten dan meteen maar weer gerelativeerd worden om maar niet te hoeven accepteren dat 't gewoon een bug / lek is.
Ze verzinnen steeds wel wat nieuws hoe ze het kunnen bypassen. En de methodes zijn bijna niet te controleren voor apple. Dan kunnen ze pas over 3 jaar een nieuwe versie uitbrengen en dan zullen er nog gaten in zitten. En de bruikbaarheid van de bug is ook minimaal.

Als deze bug is gedicht zal er wel een nieuwe worden gezocht. Kwestie van tijd.
Oplossing : Dat hele lockscreen veiliger maken. Draaien in een sandbox, whatever.
Lockscreens draaien natuurlijk al in een soort van sandbox. Het zal ook niet lastig zijn om een vrijwel volledig waterdichte lockscreen te maken.

Het probleem is dat mensen dat niet zullen willen.

Je wil weten wie jou belt als de telefoon gaat terwijl hij gelockt is. Dus moet het lockscreen process read-only toegang hebben tot je contacten om te weten bij wie dat nummer hoort.

Je wil snel foto's kunnen maken zonder je telefoon te hoeven unlocken dus moet je lockscreen toegang hebben tot de camera en schrijftoegang hebben tot een (eventueel afgeschermd) deel van je geheugen om foto's op te kunnen slaan.

Je wil muziek kunnen pauzeren, nummer skippen etc. terwijl hij gelockt is dus moet je lockscreen controle hebben over het muziek afspeelproces.

Je wil afspraken en meldingen uit je agenda kunnen zien dus moet je lockscreen lees-toegang hebben tot je agenda.

Je moet je alarm kunnen zien/horen en eventueel uitzetten of snoozen vanaf je lockscreen dus moet hij controle hebben over je clock app.

Je wil misschien wel het weer kunnen zien om je lockscreen dus moet hij leestoegang hebben tot de weer-applicatie.

Enzovoort enzovoorts. Kortom, om een beetje gebruiksvriendelijk te kunnen zijn moeten ontwikkelaars van mobiele OS-en allerlei concessies doen aan hoe waterdicht het is.
Allemaal voorbeelden die gerealiseerd kunnen worden via een privileged server/producer proces en een non-privileged client/consumer proces die onder strict gescheiden user accounts draaien en enkel over vantevoren vastgestelde kanalen mogen communiceren.

In Windows bestaat dat bijv. al jaren met services die onder de system account draaien en via beveiligde kanalen als named pipes strict vastgelegde, gelimiteerde toegang verlenen aan GUI applicaties die draaien voor desktop user accounts.

Dat model werkt. Het model dat Apple hanteert voor haar iPhones werkt duidelijk niet.

[Reactie gewijzigd door R4gnax op 10 juni 2014 19:51]

Sandboxen is niet de heilige graal van security. Ook al draait het lockscreen in een sandbox (is waarschijnlijk al het geval trouwens), dan zou deze bug vermoedelijk ng werken.

Geloof me als ik zeg dat er in Android lockscreens ook bugs zitten die ook nog eens ernstiger zijn:
https://www.youtube.com/watch?v=QYdkgO1KHmk - omdat Android zo lekker open is :)
https://www.youtube.com/watch?v=YvfRfo369Vo
Het is natuurlijk mooi dat het bekend is, maar het is toch wel wat met de lockscreen bugs en what not.. Een van de belangrijkere dingen op een smartphone blijken al een paar keer niet zo veilig te zijn geweest. Afijn, mooi dat het in iOS8 niet het geval is.
Afijn, mooi dat het in iOS8 niet het geval is
Eerlijk gezegd zou het me gezien de geschiedenis aan manieren om het lockscreen te bypassen niets verbazen als er kort na de release van iOS8 weer een nieuwe bypass komt.

Ik heb het idee dat er gewoon iets grondig mis is met het hele idee om vanuit het lockscreen toegang te hebben tot apps. Dat geldt overigens niet alleen voor iOS, maar ook voor Android (en wellicht ook Windows, maar daar kan ik niet over oordelen).
Het is natuurlijk wel gemakkelijk, maar wel onveilig. Net zoals het wel zo gemakkelijk is als je zo geld uit de muur kunt halen zonder pincode, maar de meeste mensen vinden het wel zo prettig dat ze die 4 cijfers moeten intoetsen.

[Reactie gewijzigd door Ger op 10 juni 2014 16:03]

Misschien dat men in iOS8 de boel eens wat permanenter oplost: het valt me op dat deze bypasses heel vaak komen omdat een of andere systeemapp een waarschuwings-popup laat zien, in dit geval ook weer. Volgens mij moet het op OS niveau toch prima te regelen zijn dat die dingen gewoon niet meer (of op een andere manier) getoond worden als de boel gelocked is. Zal vast geen 100% oplossing zijn, maar toch.
Een vast type communicatiekanaal, door het OS verzorgd, waarmee gecommuniceerd kan worden tussen strict gescheiden apps die of in de context van je lockscreen draaien, of in de hoofdcontext van de ingelogde gebruiker draaien.

Op dat moment kun je niet buiten het contract gaan dat door dit communicatiekanaal afgedwongen wordt en dan worden dit soort bypasses ineens een flink stuk moeilijker.

[Reactie gewijzigd door R4gnax op 10 juni 2014 20:03]

Ik vind het vooral frappant hoeveel mensen deze bug afdoen alsof het niets is. Vergelijk het men een slot op een deur dat wanneer je aanbelt maar niet thuis bent, toch toegang geeft tot de inkomhal.

Vergeet niet dat je best wat schade zou kunnen lijden moest iemand toegang hebben tot je mailbox als de mail app toevallig actief stond. Uiteindelijk geeft je mailbox je waarschijnlijk toegang tot zowat elke website waar je een account hebt.
Er is voor gekozen het mogelijk te maken je contacten terug te bellen zonder passcode. Het is dus eerder te vergelijken met een vriend de sleutel van je huis geven en er vervolgens achter komen dat hij ook de hal in kan als je niet thuis bent, niet verder dan de hal natuurlijk want dan gaat het alarm af.
Goede vergelijking, en je hebt gelijk het probleem. Een alarmsysteem hoort te starten wanneer de voordeur open gaat, beweging in de hal is een extra bevestiging. En daar gaat het hier ook mis... Of mogen ze bij jou thuis inbreken en wil je het pas weten als ze binnen zijn, even op het toilet hebben gezeten en dan je woonkamer inlopen :9
Ik zal wel weer -1tjes krijgen van fans van x, maar dat is dan maar zo.

Is dit niet al de 4 tot 6e keer dat in een iOS update blijkt dat je zonder veel moeite voorbij de pincode/lockscreen komt?? Word ondertussen wel een beetje beschamend, dat het een keertje gebeurd oke, maar iedere keer??

[Reactie gewijzigd door olivierh op 10 juni 2014 15:55]

Het lijkt mij ook een geod idee dat Apple het iOS lockscreen in de prullenmand gooid en een nieue maakt. Op een of andere manier is er eleke keer wel een manier om voorbij het lockscreen te komen, terwijl een lockscreen echt geen rocketscience is.
terwijl een lockscreen echt geen rocketscience is.
Juist wel. Nouja, niet letterlijk natuurlijk.

De grap is dat deze problemen allemaal en zonder uitzondering stammen uit dat het lockscreen aan de kant moet voor bepaalde zaken, zonder daadwerkelijk te unlocken. Bijvoorbeeld om te kunnen bellen met 112. En op het moment dat je dat soort functionaliteit hebt, heb je opeens met dit soort supersubtiele bugs te maken. Je bent namelijk op dat moment per definitie voorbij het lockscreen, en dan is 't een kwestie van alle paden naar andere dingen dan de bedoeling zijn afdichten. Maar die zijn niet altijd allemaal duidelijk.

Het is inderdaad retesimpel om een lockscreen te maken waar je niet voorbij komt en waarmee je helemaal niks kunt behalve unlocken, maar dat is niet de realiteit van wat de gebruiker van het apparaat verwacht.

Bijvoorbeeld: OSX heeft ook een lock screen, en daar hoeft niks mee te gebeuren dus daar kom je (zover mij bekend toch iig) niet voorbij zonder wachtwoord (switch user niet meegerekend; OSX is een multi-user os natuurlijk.)

[Reactie gewijzigd door CyBeR op 10 juni 2014 16:09]

Als het alleen maar om hulpdiensten gaat, dan moet toch een app te bouwen zijn die alleen het bellen van hulpdiensten mogelijk maakt en verder niets? Zelfde verhaal als de SIM kaart vergrendeld is?
Het gaat niet alleen om hulpdiensten bellen, maar ook om zaken als reageren op smsjes, terugbellen van gemiste oproepen, etc. Er zijn zoveel randvoorwaarde waarin het lockscreen omzeild kan worden dat een bug natuurlijk snel ontstaat. Het terugbellen van een gemiste oproep kan bijvoorbeeld znder passcode, dat er vervolgens een bug insluipt dat als je op een onmogelijke manier iemand probeert terug te bellen, dat er geen passcode gevraagd word is een stuk minder vreemd dan men (misschien) denkt.
Klopt, maar ik bedoel juist: zaken zoals terugbellen, whatsappen, etc. zijn niet essenteel. Zoals CyBeR zegt is het enige waarvoor actie zonder geldige unlock NOODZAKELIJK is, het bellen van hulpdiensten.

De rest is leuk, maar bijna per definitie het inbouwen van een lek.
Voor zover ik weet is het bellen naar alarmnummers ook het enige geval waarin het vergrendelscherm gedwongen aan de kant moet. Ik ben op dit gebied een leek, maar het lijkt mij toch een relatief simpele zaak om een vergrendelscherm te bouwen dat twee functies heeft: ver- en ontgrendelen, en bellen. Een vergrendelscherm met ingebouwde belfunctionaliteit dus. Dat vergrendescherm heeft dan, in tegenstelling tot hoe het huidige systeem vermoedelijk in elkaar zit, helemaal geen doorgang naar de rest van het systeem. Er zijn dan slechts twee verbindingen waar goed op de beveiliging gelet moet worden. 1) Het loggen van uitgaande oproepen naar alarmnummers, en 2) het aanroepen van de hardware die het bellen mogelijk maakt, i.v.m. overbelasting van de hardware via verkeerde opdrachten o.i.d., die onbedoeld toegang tot het systeem verschaft.
Voor zover ik weet is het bellen naar alarmnummers ook het enige geval waarin het vergrendelscherm gedwongen aan de kant moet.
In theorie wel, maar in de praktijk niet.
Ik ben op dit gebied een leek, maar het lijkt mij toch een relatief simpele zaak om een vergrendelscherm te bouwen dat twee functies heeft: ver- en ontgrendelen, en bellen. Een vergrendelscherm met ingebouwde belfunctionaliteit dus.
Nogmaals, dat is de theorie. In werkelijkheid willen mensen dat 't lockscreen allerlei dingen kan. Zoals uiteraard het noodnummer bellen, maar ook een eventuele ICE-card bellen (feature in iOS 8 ), snel naar de fotocamera, etc. Dat zijn allemaal paden waardoor je langs het lockscreen komt (ze allemaal in het lockscreen zelf implementeren is een slecht idee overigens). Da's ok, maar dan moet je goed letten op hoe je daarna eventueel ergens anders heen kunt komen. En dr blijken dan de rare, vergezochte bugs in te zitten.

[Reactie gewijzigd door CyBeR op 10 juni 2014 16:56]

Of het is gewoon een backdoor zodat overheidsdiensten en Apple zelf een iOS apparaat kunnen ontgrendelen. Het is elke keer weer een methode die lastig te vinden is. Ik kan me niet voorstellen dat alle goede ontwikkelaars bij Apple geen goed lockscreen zouden kunnen maken.
Je hebt toch geen -1 gehad :P
Ik ben het wel met je eens hoor, dat het best wel een beetje beschamend begint te worden... maar goed. Die fixes die ze nu doorvoerden waren elke keer quick fixes, ze moeten er eens de tijd voor nemen en even kijken of ze de hele security laag niet op de schop kunnen nemen!
Inderdaad, laat ik voorop stellen dat Apple over het algemeen een stuk beter in de beveiliging is dan Android (oeps, nou komt het andere team!) maar daarom is het juist zo apart dat er iedere keer weer iets rondom het lockscreen te doen is.

Ik zou dan zeggen; test dat voortaan gewoon even minimaal een week lang met alle medewerkers voordat je je device begint te leveren, en de medewerkers die een bug vinden krijgen daarvoor voor het hele gezin de nieuwste iphones ofzo, geloof maar dat er dan goed getest word.
Ik zou dan zeggen; test dat voortaan gewoon even minimaal een week lang met alle medewerkers voordat je je device begint te leveren,
En jij denkt dat ze dat niet doen?
Los van het feit dat het slordig is is de impact nihil, zoals ook al is aangegeven in het artikel.
Je kunt enkel de laatst gebruikte app inzien, of in het gval van het homescreen de openstaande apps. Nou boeie hoor, echt een security bug die met de allerhoogste prio opgelost moet worden.
Nee, niet met alle medewerkers, en waarschijnlijk ook niet met een 'prijs' voor het vinden van een bug.

En zoals iemand hierboven al aangaf, het is best een serieuze bug, als jij als laatste je mail applicatie open had staan kan het best een probleem zijn, denk bijvoorbeeld aan wachtwoord mailtjes (die je als dief dan ook zelf zou kunnen opvragen) en gegevens van debit/credit kaarten enzo.
Gelukkig is het elke keer wel zo dat men vrij gelimiteerd is, mocht deze het scherm bypassen.
aparte bug. Wel cool hoe mensen dit vinden en uitleggen. Hierdoor geef je de gemiddelde leek toch wat meer info "wat is het, hoe kan ik het oplossen" etc.
Ook wel goed om te lezen dat dit redelijk makkelijk te voorkomen is. Vanavond mijn devices maar even nakijken hiervoor
Er is anders genoeg E3 nieuws :+
Klinkt alsof je geen kritiek kunt hebben...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True