Onderzoekers: ‘Lokale iTunes-backups iOS 10 sneller te kraken’
Onderzoekers van het Russische Elcomsoft zeggen een kwetsbaarheid te hebben ontdekt in de manier waarop iOS 10 met lokale back-ups in iTunes omgaat. Lokale back-ups zouden bepaalde veiligheidscontroles omzeilen, met als gevolg dat wachtwoorden voor deze offline back-ups sneller te achterhalen zijn dan bij iOS 9 het geval is.
‘Brute force-aanval’ op iOS 10 back-ups
Volgens de onderzoekers, die het nieuws verpakten in een promotie voor hun nieuwe softwaretool, kun je met een zogeheten brute force-aanval tot wel 2500 keer sneller toegang krijgen tot de back-up dan bij iOS 9. In zo’n aanval worden er verschillende wachtwoorden uitgeprobeerd totdat het werkende wachtwoord is gevonden. Dit is een beproefde techniek, die te voorkomen is door een maximum te stellen aan het aantal foutieve inlogpogingen. Concreet komt het er volgens de onderzoekers op neer dat je in iOS 10 zes miljoen wachtwoorden per seconde kan uitproberen. Daarmee zou je in zes minuten toegang krijgen tot een back-up die is beveiligd met een wachtwoord dat bestaat uit zes kleine letters. Een wachtwoord van zeven karakters op iOS 9 breken zou zes dagen duren.
Daarvoor moet iemand met kwade bedoelingen overigens wel toegang hebben tot je computer. Op afstand kun je deze aanval niet uitvoeren. Het is niet duidelijk of Elcomsoft de kwetsbaarheid aan Apple heeft gemeld, zoals gebruikelijk is bij het ontdekken van beveiligingslekken. Het bedrijf verkoopt software om back-ups van iPhones en iPads te kunnen ontsleutelen, dus het heeft wel een duidelijk commercieel belang. Ook is niet duidelijk van welke kwetsbaarheid hier misbruik wordt gemaakt. Volgens beveiligingsonderzoeker Per Thorsheim zou het iets te maken kunnen hebben met een ander hashing algoritme dat Apple hiervoor gebruikt.
Elecomsoft beweert dat de beveiliging sinds iOS 8 al flink is verbeterd, waardoor ‘logical acquisition’ de enige overgebleven methode is om wachtwoorden te achterhalen. Hierbij wordt een volledige kopie van de software op het iOS-apparaat gemaakt, waarna met speciale tools voor wachtwoordanalyse wordt gekeken of de back-up gekraakt kan worden.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Eerste publieke beta's van iOS 18.3 en iPadOS 18.3 zijn uit voor testers (18-12)
- Ondersteuning voor robotstofzuigers in Woning-app komt in iOS 18.3 (maar alleen in het Engels) (17-12)
- iOS 18.2: deze nieuwe functies brengt de update naar je iPhone (11-12)
- iOS 18.2 en iPadOS 18.2 nu beschikbaar: grote update brengt veel nieuws (11-12)
- Tweede Release Candidate van iOS 18.2 en iPadOS 18.2 nu te downloaden (09-12)
Reacties: 3 reacties