Hardware-versleuteling van iPhone met Linux makkelijk te omzeilen
Volgens Apple worden alle gegevens op de iPhone 3GS met 256 bits AES-encryptie versleuteld. De gebruiker kan het niet uitschakelen en je krijgt vanaf de desktop alleen gegevens tot de data vanaf de originele computer waarmee je hebt gesynchroniseerd. Alleen dan zijn namelijk sleutel en bijbehorend certificaat voorhanden om de encryptie te ontcijferen. Maar volgens security-onderzoeker Bernd Marienfeldt is die beveiliging via Ubuntu gemakkelijk te omzeilen.
Marienfeldt werkt bij het Britse internetknooppunt LINX (vergelijkbaar met AMS-IX) en heeft Apple inmiddels op de hoogte gebracht van het beveiligingslek.
De onderzoeker sloot zijn iPhone 3GS op een systeem met Ubuntu 10.04 aan en kreeg ongehinderd toegang. Wanneer hij de iPhone in uitgeschakelde toestand met een usb-kabel aansloot op de Linux-pc en daarna inschakelde, kwam de Automounter van Ubuntu meteen in actie. Hij kreeg daarna toegang tot meerdere mappen, ook wanneer de iPhone nooit eerder met de pc was verbonden. Marienfeldt zag foto’s, mp3-bestanden en voicememo’s, allemaal zonder versleuteling.
Het maakte daarbij niet uit of er een wachtwoord op de iPhone was ingesteld. Normaal gesproken krijg je onderstaande foutmelding te zien als je een ‘vreemde’ iPhone met pincode aansluit:
Marienfeldt kreeg zonder verzoek om een pincode echter het volgende te zien:
Bernd Marienfeldt doet op zijn persoonlijke blog verslag van zijn bevindingen.
Meer info: Heise via iPhone-ticker
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 26 reacties