Apple ontkent nieuwe manier om pincodelimiet iPhone te omzeilen [update]

Een hacker zegt een manier te hebben gevonden om de limiet bij het invoeren van pincodes te omzeilen. Daardoor zou je meer dan 10 invoerpogingen kunnen doen. Maar Apple zegt dat de test fout is uitgevoerd en de man krabbelt nu zelf ook terug.

Gonny van der Zwaag | iCulture.nl - 24 juni 2018, 8:20
· Laatst bijgewerkt: 12:12

Update 24 juni: Apple ontkent dat de iPhone op deze manier gemakkelijk te omzeilen is en zegt dat de test niet goed is uitgevoerd. “The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing,” zegt Apple in een reacties. Hickey paste daarna zijn oorspronkelijke beweringen aan en geeft uit dat de hack mogelijk niet zo werkt als hij aanvankelijk had gedacht. Soms lijkt het alsof de pincodes getest worden, maar worden ze niet naar de processor van de Secure Enclave gestuurd. De toestellen registreren daardoor minder pogingen dan in werkelijkheid het geval is.

Het is onduidelijk of Hickey daarover nog contact heeft gehad. Zelf zegt de man dat hij de kwetsbaarheid heeft gemeld bij Apple, maar geen reactie kreeg. Wel zegt hij de ontdekking verder te gaan onderzoeken. Dat zal ook gelden voor andere beveiligingsbedrijven, die ongetwijfeld willen weten of Hickey toch op het juiste spoor zat.

Klik om inhoud van Twitter te tonen.
Learn more in Twitter’s privacy policy.

Always display content from Twitter

In iOS 12 zouden dergelijke kwetsbaarheden verleden tijd moeten zijn dankzij de USB Restricted Mode. daardoor kun je na een bepaalde tijdsperiode de Lightning-poort van een toestel niet meer gebruiken om data uit te wisselen. Deze optie staat standaard aan in de iOS 12 beta en waarschijnlijk ook in de iOS 12 Final.

Hieronder volgt ons oorspronkelijke bericht van 23 juni.

De man, Matthew Hickey, was niet met kwaadaardige bedoelingen op zoek naar een kwetsbaarheid, maar kwam het tijdens zijn werkzaamheden op het spoor. Het bleek mogelijk om alle pincodes van 0000 tot 9999 te proberen en via een kabel naar het apparaat te verzenden. Op die manier blijkt de normale limiet van 10 pincodepogingen te kunnen worden omzeild met een brute force-aanval. Elke poging duurt tussen de drie en vijf seconden. Daarmee lukt het om binnen een paar dagen de iPhone of iPad te ontgrendelen. Voor codes van zes cijfers duurt het proces enkele weken – tenzij de gebruiker een voor de hand liggende cijferreeks heeft gekozen.

https://vimeo.com/276506763

Volgens Hickey werkt de methode in ieder geval op iOS 11.3. Onduidelijk is nog of het ook op iOS 11.4 en de iOS 12 beta werkt.

Tip: lees alles over Pincode instellen op iPhone en iPad. Je kunt in plaats van een pincode beter kiezen voor een langere alfanumerieke toegangscode.

Zo wijzig je de toegangscode van je iPhone of iPad

Met een toegangscode of pincode zorg je dat anderen niet zomaar je iPhone of iPad kunnen gebruiken. In deze tip lees je alles over de iPhone toegangscode, hoe je een goede pincode instelt en welke instellingen er mogelijk zijn.

Zo maak je je iPhone toegangscode veiliger met een complexe, alfanumerieke code

Je kunt de iPhone pincode veiliger maken door een langere toegangscode met cijfers, letters en speciale karakters te kiezen. Zo’n alfanumerieke code is moeilijker te raden.

De hacker heeft Apple op de hoogte gebracht, maar heeft nog geen reactie ontvangen. Mogelijk is de kwetsbaarheid die Hickey heeft ontdekt, ook toegepast bij het GrayKey-kastje, waarmee politiediensten iPhones van verdachten kunnen ontgrendelen. Hickey benadrukt dat de truc gemakkelijk te ontdekken bleek.

Revisiegeschiedenis:

2018 - 24 juni: Artikel bijgewerkt met reactie van Apple.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Het laatste nieuws over Apple van iCulture