» »

Raziskovalci prikazali napad na zaklenjen iPhone

Raziskovalci prikazali napad na zaklenjen iPhone

ComputerWorld - Raziskovalci s Fraunhoferjevega inštituta za varno informacijsko tehnologijo so prikazali, kako lahko v šestih minutah iz zaklenjenega iPhona pridobijo osebne podatke in gesla, če imajo fizičen dostop do naprave.

V napadu najprej izvedejo programski jailbreak na telefonu, nato nanj namestijo SSH-strežnik in vanj prekopirajo skripto, ki jim zagotovi dostop do keychaina. To je Applov sistem za upravljanje s shranjenimi gesli. Ker je kriptografski ključ na napravah z operacijskim sistemom iOS neodvisen od gesla, lahko napadalec dostopi do telefona z izdelavo ključa, ne da bi moral poznati ali razbiti geslo za zaklep telefona. Ranljiva so le gesla v keychainu.

Med odkritimi gesli so bila tudi gesla za Gmail, Microsoft Exchange, LDAP, glasovno pošto, VPN in Wi-Fi. S poznavanjem gesla za elektronsko pošto pa lahko napadalec pridobi še vrsto dodatnih gesel, zato je nujno, da si lastniki iPhona ob njegovi izgubi zamenjajo vsa gesla.

23 komentarjev

Keyser Soze ::

Na, in glih to k naj bi bil plus na koncu izpade minus.

Security through obscurity at it\'s best.:|

P.S.: Treba počakat da začnejo letet ven sadovi Nokie&MSa. Zna bit kar zanimivo.
OM, F, G!

Mikrohard ::

Simpl. Sam si jailbreakaš telefon, naložiš SSH in spremeniš root geslo. S tem napadalec izgubi možnost napada.

mjk ::

vmes pa zgubiš garancijo .. simpl

Keyser Soze ::

Ja, in repetiraš postopek za vsako nadgradnjo?
OM, F, G!

Mikrohard ::

Lej... če si tak paranoik, boš to pač počel. Lahko si pa vklopiš brezplačen find my iphone, ki ima remote wipe funkcijo.

Meni se zdi večji problem to, da ima večina uporabnikov jailbreaka nastavljeno privzeto root geslo in lahko vsak, ki je v istem omrežju (npr. eduroam) preko SSH-ja pride v telefon in počne, kar si zaželi.

lurker ::

Na, in glih to k naj bi bil plus na koncu izpade minus.

Security through obscurity at it\'s best.
?! Kak obscurity?

Na rootanem Androidu bereš passworde kot knjigo. Plaintext.

Mi je vsaj enkrat prišlo prav, ko sem pozabil geslo za fajl, kjer imam drugače napisana gesla za wi-fi :)

techfreak :) ::

@Mikrohard: samo za to, ker te skrbi varnost tvojih podatkov, se nisi paranoik.

Keyser Soze ::

lurker je izjavil:

?! Kak obscurity?

Tak, kot npr. pri Windowsih? Tak, da BP talajo okrog izvorno kodo, da je na vpogled vsakemu ki ma 5 minut cajta?

Kar se tiče pa JBja...

Šura lahko to delaš, ampak zatiskat si oči, da je zadeva popolnoma banalna, je tipično sprenevedanje. Apple je dal ven sistem, ki naj bi zagotavljal neko varnost. Heck, še celo poudarjali so, da če slučajno izgubiš svoj telefon, uporabiš Remote Wipe funkcijo pa je problem rešen. Ampak, pozabili so omeniti, da bo underground scena morala prelit precej švica, da prvo sproducira uporaben JB. Ki po možnosti ne bo tethered. Da bo uporabnik pač moral v obzir vzet tveganje, da si zbricka telefon pri proceduri in mu nato na servisu, če imajo slab dan, zamorijo da mu ne priznajo garancije.

Pa še celo priporočajo ga poslovnim uporabnikom. Ki se povezujejo na službene mreže, ki imajo ponavadi visok standard zaščite. Kaj, zdej naj pa IT kratkomalo vse korporacijske iPhone pobere nazaj, jih JBja, spremeni geslo, nato pa da nazaj zaposlenim. Ker so kot taki bolj varni? Si predstavljaš, da bi Jobs tole vrgel ven na predstavitvi iPhonea kot feature? Tam na tistem slideshowu?

Če zgubite gesla ne se sekirat. Lahko še vedno pridete do "master" passworda in zopet imate vsa svoja gesla (če so bila shranjena na iPhoneu).

Nisem paranoik, pričakujem pa vseeno, skladno s hvalospevi, ki se pojejo naokoli, da bo naprava nudila tisto kar piše. Sploh varnost podatkov.
OM, F, G!

BigLebowski ::

Kera naprava pa nudi varnost podatkov?

Afo ::

techfreak :) je izjavil:

@Mikrohard: samo za to, ker te skrbi varnost tvojih podatkov, se nisi paranoik.

Ja si, če nimaš ravno kod za jedrske izstrelke na svojem iPhonu...
Kar jih nimam- več ;) Pa tut ne svojih nagih slik, oz. podobnega. Ne vidim pa realnega strahu pred tem, da bi kdo zdej fizično vdiral na telefone ljudi kar brez razloga.
Sicer pa: je potrebno imeti "samo" fizičen dostop do telefona. Haha- mislim ni ravno nek dosežek.
Pa še to- a drugi telefoni so pa popolnoma varni pred fizičnim dostopom al kaj, da je to "glavna novica"!?

BigLebowski je izjavil:

Kera naprava pa nudi varnost podatkov?

Čak, jo še razvijam ;)
Bolje biti mlad in neumen, kot samo neumen!

Zgodovina sprememb…

  • spremenil: Afo ()

techfreak :) ::

BigLebowski je izjavil:

Kera naprava pa nudi varnost podatkov?

BlackBerry

BigLebowski je izjavil:

Ja si, če nimaš ravno kod za jedrske izstrelke na svojem iPhonu...

Dovolj so že poslovne skrivnosti, za katere nočeš, da jih kdo izven tvojega podjetja dobi.

BigLebowski ::

techfreak:) yea right....

Keyser Soze ::

No, a je kdo od zgornjih neparanoikov pripravljen odstopiti svoj telefon za par ur? Da malo prečekiramo kaj se gor nahaja, ipd.?

As it is. V tem momentu.
OM, F, G!

BigLebowski ::

techfreak:) naj ti posodi svojega BlackBerryja, pa da vidmo. :D

techfreak :) ::

Nimam BlackBerryja, vendar vseeno trdim, da je eden izmed bolj varnih telefonov. Podatki na telefoni so zaščiteni in prenos med službenim strežnikom in telefonom je zaščiten.

BigLebowski ::

Ja, to vemo, celo toliko, da so ga zaradi tega prepovedali v Saudski Arabiji in še kje...Ampak, mislim, da se je to isto zgodilo z iPhonom. Štos je samo v tem, da se očitno na Black Berryja še nihče ni spravil, tako kot se stalno na iPhone...Če bi se, mislim, da bi tudi masikatero ranljivost našli.

techfreak :) ::

Si prepričan, da se na BB še nihče ni spravil? Ker je ne dolgo nazaj bil kar popularen (zdaj je malo manj) pri različnih podjetjih, ki so hotela varno rešitev, ki jo sami gostijo na svojih strežnikih.

hamax ::

BB in symbian podpirata kriptiranje pomnilnika. Ce si nastavis dovolj dolgo geslo ne bo nihce prisel mimo in prebral tvojih poslovnih skrivnosti ter sexy sms-ov.
Algoritmi za kriptiranje so javni in za enkrat se nepodrti.

Tako se dela security, ne pa s skrivanjem izvorne kode.

lurker ::

Pa o kakem skrivanju kode in obskurnosti vi to?! iOS in Android preprosto ne kriptirata podatkov. Nima veze a je prvi zaprto in drugi odprto koden. Če imaš root dostop, prebereš vse.

edit: Eh. Buče valim. iOS kriptira. Verjetno tudi Android (čeprav menda nima HW kriptiranja). Mi lepo piše v novici.

Zgodovina sprememb…

  • spremenilo: lurker ()

Macketina ::

Hm, Maemo, na katerem spremenis root geslo, das gor TrueCrypt, dovolj dolgo geslo... to ni varno?

Mikrohard ::

Keyser Soze je izjavil:

No, a je kdo od zgornjih neparanoikov pripravljen odstopiti svoj telefon za par ur? Da malo prečekiramo kaj se gor nahaja, ipd.?

As it is. V tem momentu.

Bi ti ga posodil... ampak ima gor že iOS 4.3, ki ga brez pravega bundla še ne moreš JB-kat. Pa ne da se mi ga potem nazaj postavljat, ko bi takoj naredil remote wipe ;)

Matthai ::

Kolikor jaz vem lahko prevedeš Android z Cryptsetup podporo in potem je cel telefon kriptiran. V bistvu... nameravam zadevo sprobat v kratkem.
All those moments will be lost in time, like tears in rain...
Time to die.

thxslo ::

Joj... ker device je pa dons varen :) ... iphona aka "napadi" , pride se do dost uporabnih stvari npr emaile,wifi ,klici,gps lokacije,slike,cache tipkovnice itd ...izven svoje aplikacije aka "bundla"... aja pa se to celo na app-storu je blo kar nekej takih ze, razlog: se ne uporabla nobenga privatnga -apija.... tko da je dost da tud zvesti iphonovec zvisi nad svojimi podatki, ko bo zlo veseu uporablu hudo alikacijo z cydie/drugod...

life is life...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Črv za iPhone rickrolla odklenjene telefone

Oddelek: Novice / Varnost
202873 (810) Tablica
»

Raziskovalci prikazali napad na zaklenjen iPhone

Oddelek: Novice / Varnost
234520 (3329) thxslo
»

iphone pomoč prosim

Oddelek: Mobilne tehnologije
141404 (999) PINki
»

Heker zahteval pet dolarjev od lastnikov iPhonov

Oddelek: Novice / Apple iPhone/iPad/iPod
254767 (3295) XS!D3
»

MacLockPick - avtomatizirana kraja podatkov

Oddelek: Novice / Zasebnost
273162 (1961) Matthai

Več podobnih tem