Nieuwe manier ontdekt om iPhone-codeslot in iOS 6.1 te omzeilen

Onderzoekers hebben een nieuwe variant ontdekt van de kwetsbaarheid om het iPhone-codeslot te omzeilen.
Michel Lusthof -

CodeslotOnderzoekers hebben opnieuw een manier ontdekt om het codeslot van een beveiligde iPhone te omzeilen. Dat meldt Ars Technica. Het zou gaan om een soortgelijke methode zoals bij de kwetsbaarheid die eerder deze maand aan het licht kwam. Hierbij bleek het mogelijk om via een serie handelingen toegang te krijgen tot de Telefoon-applicatie en daarmee tot contactinformatie, telefoonnummers en Voicemail-berichten.

In de nieuwe methode is er wel een klein verschil ten opzichte van de methode die eerder werd gedemonstreerd. De serie handelingen die een gebruiker moet verrichten start op dezelfde manier door gebruik te maken van de Noodoproep-functie in combinatie met de power/standby-knop. Een belangrijk verschil in deze nieuwe methode is echter dat deze ervoor kan zorgen dat het iPhone-scherm op zwart gaat waarna het toestel via USB met de computer verbonden kan worden. Daarmee is het mogelijk om zonder PIN of wachtwoord toegang tot gebruikersdata te krijgen.

“De kwetsbaarheid bevindt zich in de algemene loginmodule van het mobiele iOS-apparaat (iPhone of iPad) wanneer de screenshotfunctie in combinatie met de Noodoproep-functie en power/standy-knop wordt aangeroepen. De kwetsbaarheid stelt de gebruiker in staat om het codeslot via USB in iTunes te omzeilen als een zwart scherm verschijnt”, schrijft Benjamin Kunz Mejri, CEO van Vulnerability Lab die de kwetsbaarheid ontdekte.

In onderstaande video wordt de methode uitvoerig getoond:

Volgens de onderzoekers bevindt deze nieuwe kwetsbaarheid zich uitsluitend in iOS 6.1. Apple erkende eerder al dat er sprake was van een kwetsbaarheid en beloofde met een oplossing te komen. Afgelopen week stelde Apple iOS 6.1.2 als kleine update beschikbaar om enkele problemen met Exchange te verhelpen. Maar na deze update bleek het codeslot-lek niet te zijn gedicht. Afgelopen donderdag bracht Apple vervolgens een bèta van iOS 6.1.3 uit voor ontwikkelaars, waarin het lek naar verluidt wel is gedicht. Het is niet duidelijk of deze update, die waarschijnlijk in de aankomende weken zal verschijnen, ook een oplossing biedt voor deze nieuwe variant van de exploit.

Reacties: 14 reacties

  1. Laat ze eens ophouden met die flauwekul! Iedere keer wanneer er een iOS update uitgebracht wordt met aansluitend een jailbreak, komen er weer onderzoekers (of prutsende hobbyisten) met een methode om het codeslot te omzeilen, waardoor Apple zich genoodzaakt ziet om in hoog tempo met een update te komen. En natuurlijk nemen ze daarbij ook een paar jailbreak exploits mee.

    Dankzij dit soort grappenmakers zijn de laatste jailbreaks iedere keer weer voortijdig aan hun eind gekomen.

  2. Ja dat is slim! Er is een nieuwe manier ondekt om een code te omzeilen!
    Laten we dit massaal bekend gaan maken zodat iedereen hiervan weet! Logica!

  3. Ja is slim, zo komt Apple het te weten en kunnen ze iOS beter beveiligen! Heb toch geen jb;)

  4. In update 6.1 ging dit niet opgelost worden dacht ik. Was voor 6.1.2 dacht ik. Hoe dan ook,stop met die belachelijke artikels.Heeft niemand iets aan. Er zal altijd wel een manier zijn.Jje kunt niet eindeloos gaan beveiligen.

  5. Ik krijg al kramp in de vingers als ik kijk. Wat een gedoe en onzin. Voor de veiligheid is vier cijfers zo wie zo te weinig. Ik gebruik meer. Probleem verholpen. Ik hoop dat Apple hier niet te veel tijd aan gaat besteden.

  6. En dan te bedenken dat 33% van alle smartphonegebruikers niet eens een pincode of wachtwoord gebruikt om zijn mobiel af te sluiten.

  7. Gewoon je iPhone niet kwijt raken.

  8. Dit is belangrijk nieuws voor zakelijke gebruikers de de iPhone als vervanging voor bijv. Blackberry inzetten. Richtlijnen en certificeringen vereisen minimaal een correct werkende beveiliging d.m.v. pincode of passphrase.

    Ik vraag me af of dit trucje ook met passphrases werkt.

  9. Ligt het aan mij, of zie ik op een cruciaal moment, op 45 seconden in de film, dat er geëdit is in de film. Als ik dit probeer na te spelen, dan krijg ik op dat moment de vraag of ik mijn toestel wil uitzetten.
    Wie heeft dit kunnen reproduceren?

  10. Ik kan me niet voorstellen dat Apple de eerdere methode wél tackeled, en deze methode níet in de komende 6.1.2.
    Dit zou een flater van jewelste zijn. Ik zie de koppen al weer voor me op Nu.nl en Tweakers.net: “Codeslot iPhone na update wederom te omzeilen”.
    De Android community zal niet meer bijkomen van het lachen (en terecht).

  11. Met een jailbreak geen last van,
    Download iCaughtU pro in Cydia.
    De tweak zorgt ervoor dat de “Slide to power off” knop niet tevoorschijn komt.
    Alleen als de iPhone ontgrendelt is.

  12. Er zijn hier weer wat reacties te lezen hoor…
    Vroeger toen M$ de ene na de andere kemel beging op vlak van security, schreeuwde iedereen (terecht) moord en brand. Nu dat Apple de laatste tijd ferme kemels slaat, is het plots allemaal zever?

  13. Nou ik ben in ieder geval hacker-proof dan 🙂

    iPod Touch (dus geen noodoproep) met kapotte homebutton.

  14. Het is mij gelukt om dit te reproduceren