iOS 11.4 packs in een nieuwe functie genaamd USB Restricted Mode die is ontworpen om fysieke datatoegang door forensische bedrijven zoals Cellebrite en hacktools zoals GrayKey te verslaan.
We schreven eerder over Grayshift's GrayKey, een speciaal hackapparaat ontworpen voor wetshandhavingsfunctionarissen. Het maakt gebruik van een onbekende exploit om het fail-safe mechanisme van Apple te omzeilen dat het apparaat na tien opeenvolgende pincode-pogingen wist.
Als zodanig opent GrayKey de deur naar brute-force aanvallen op de toegangscode. Omdat de beveiligingen van Apple zijn omzeild, kan de doos in minder dan een dag een 6-cijferige toegangscode raden.
Handleiding voor iOS geschatte kraaktijden voor toegangscodes (gaat uit van willekeurige decimale toegangscode + een exploit die SEP-beperking onderbreekt):
4 cijfers: ~ 13min slechtst (~ 6.5avg)
6 cijfers: ~ 22.2hrs slechtste (~ 11.1avg)
8 cijfers: ~ 92.5 dagen slechtst (~ 46avg)
10 cijfers: ~ 9259 dagen slechtste (~ 4629avg)- Matthew Green (@matthew_d_green) 16 april 2018
Het heeft twee Lightning-kabels die uit de voorkant steken en werkt met alle recente iPhones.
Om de gebruikersveiligheid aan te scherpen en het moeilijker te maken voor dergelijke gespecialiseerde hardware om in onze iPhones in te breken, legt de nieuwe USB Restricted Mode van iOS 11.4 een venster van zeven dagen op waarin accessoires de USB-gegevensverbinding via de Lightning-poort kunnen gebruiken.
Volgens de release-opmerkingen voor iOS 11.4:
Om de beveiliging te verbeteren, moet een vergrendeld iOS-apparaat communiceren met USB-accessoires. U moet een accessoire via Lightning-connector verbinden met het apparaat terwijl het is ontgrendeld - of voer de toegangscode van uw apparaat in terwijl u verbonden bent - ten minste eenmaal per week.
Met andere woorden, iOS 11.4 voorkomt dat accessoires via de Lightning-poort communiceren met een iOS-apparaat, tenzij uw toegangscode minimaal eenmaal per week wordt ingevoerd.
Deze functie werd eigenlijk geïntroduceerd in de iOS 11.3-bèta voordat deze uit de voltooide code werd verwijderd en opnieuw werd geïntroduceerd in de huidige iOS 11.4-bèta.
Wanneer de Lightning-poort is vergrendeld in de modus Alleen opladen, wordt uw iPhone of iPad nog steeds opgeladen, maar wordt er niet langer geprobeerd een gegevensverbinding met het accessoire tot stand te brengen.
In de Lightning-vergrendelingsmodus wordt zelfs de prompt Deze computer vertrouwen niet weergegeven als het apparaat is aangesloten op de computer. Als extra beveiligingslaag worden bestaande iTunes-vergrendelingsrecords niet gerespecteerd totdat de gebruiker zijn apparaat ontgrendelt met een toegangscode.
TUTORIAL: Hoe een sterkere iPhone-toegangscode in te stellen
iTunes-vergrendelingsrecords of koppelingsrecords zijn speciale bestanden die worden opgeslagen op de computer waarmee uw iOS-apparaat wordt gesynchroniseerd. Een lockdown-record wordt automatisch gemaakt wanneer de gebruiker zijn iOS-apparaat voor het eerst aansluit op een pc waarop iTunes is geïnstalleerd.
Het Russische forensische bedrijf ElcomSoft speculeert dat een schurkenpartij zou proberen het venster Beperkte modus uit te breiden door een iOS-apparaat aan te sluiten op een gekoppeld accessoire of computer.
Als de telefoon in beslag werd genomen terwijl deze nog was ingeschakeld en ondertussen bleef ingeschakeld, hangt de kans van het succesvol verbinden van de telefoon met een computer met het doel een lokale back-up te maken af van of de expert toegang heeft tot een niet-verlopen lockdown-bestand (het bovengenoemde iTunes-koppelingsrecord).
Als de telefoon echter in uitgeschakelde toestand wordt afgeleverd en de toegangscode niet bekend is, is de kans op succesvolle extractie op zijn best klein.
Elcomsoft merkt op dat het momenteel onduidelijk is wanneer de USB-gegevens worden geblokkeerd:
Op dit moment is het nog steeds onduidelijk of de USB-poort is geblokkeerd als het apparaat gedurende 7 opeenvolgende dagen niet met een toegangscode is ontgrendeld; als het apparaat helemaal niet is ontgrendeld (wachtwoord of biometrische gegevens); of als het apparaat niet is ontgrendeld of verbonden met een vertrouwd USB-apparaat of computer.
In onze test konden we de USB-vergrendeling bevestigen nadat het apparaat 7 dagen niet is gebruikt. Tijdens deze periode hebben we niet geprobeerd het apparaat met Touch ID te ontgrendelen of aan te sluiten op een gekoppeld USB-apparaat. Wat we wel weten, is dat na 7 dagen de Lightning-poort alleen goed is voor opladen.
Apple heeft het voor forensische bedrijven een stuk moeilijker gemaakt om de toegangscode te omzeilen en een lokale back-up van de gegevens van een iOS-apparaat te maken met behulp van iTunes-vergrendelingsrecords van de computer van het slachtoffer.
In iOS 11.3 verlopen bijvoorbeeld iTunes-koppelingsrecords na zeven dagen. iOS 11 verhoogt ook de koppelingsbeveiliging door een toegangscode te vereisen voor de prompt "Deze computer vertrouwen".
Zoals Apple zelf stelt, zouden de in dit artikel beschreven wijzigingen in iOS 11.4 hackpogingen door forensische bedrijven zoals Cellebrite en hacktools zoals GrayKey moeilijker moeten maken.
"Als u iAP USB-accessoires via de Lightning-connector gebruikt of verbinding maakt met een Mac of Windows-pc, moet u mogelijk uw toegangscode periodiek invoeren als u een toegangscode hebt ingesteld op uw iPhone, iPad of iPod touch," merkt het bedrijf op.
Het enige dat u moet weten, is dat de iOS 11.4-update uw beveiliging verhoogt door de Lightning-poort automatisch uit te schakelen na 7 dagen sinds uw apparaat voor het laatst is ontgrendeld.
Wat vind je van deze nieuwe privacymaatregel in iOS 11.4?
Laat het ons weten in de reacties!