Het is niet langer veilig om een zescijferige toegangscode op uw iPhone te gebruiken.
Dankzij een nieuw soort gespecialiseerd kraakapparaat kunnen wetshandhavers elke 6-cijferige iPhone-toegangscode binnen elf uur of minder omzeilen, terwijl een viercijferige toegangscode gemiddeld in 6,5 minuten of maximaal 13 minuten kan worden berekend.
TUTORIAL: Hoe een sterkere iPhone-toegangscode in te stellen
Een grijze doos van vier centimeter breed bij vier centimeter diep bij twee centimeter lang, met twee Lightning-kabels die uit de voorkant steken, de GrayKey-doos is ontworpen door een bedrijf genaamd Grayshift. Het werkt met alle recente iPhone-modellen.
Het apparaat is ontworpen voor wetshandhavers.
Volgens het moederbord van VICE maakt het met internet verbonden apparaat van $ 15.000 gebruik van een niet bekendgemaakte iPhone-jailbreak of zero-day exploit waardoor het wachtwoordinvoer kan worden onderdrukt dat wordt afgedwongen door de door Apple ontworpen Secure Enclave cryptografische coprocessor.
Na vier opeenvolgende pincodes probeert de Secure Enclave verdere pogingen uit te stellen, met een minuut voor een vijfde mislukte poging of een uur voor de negende opeenvolgende pincodefout. GrayKey omzeilt niet alleen deze failsafe, maar ook de optie van iOS om de inhoud van uw iPhone te laten wissen na tien opeenvolgende mislukte pogingen.
Volgens Matthew Green, universitair docent en cryptograaf bij het John Hopkins Information Security Institute, kan een 8-cijferige toegangscode 46 tot 92 dagen duren om te raden. Een sterke 10-cijferige toegangscode met willekeurige getallen kan tot 25 jaar duren om te kraken, of gemiddeld meer dan 13 jaar.
Handleiding voor iOS geschatte kraaktijden voor toegangscodes (gaat uit van willekeurige decimale toegangscode + een exploit die SEP-beperking onderbreekt):
4 cijfers: ~ 13min slechtst (~ 6.5avg)
6 cijfers: ~ 22.2hrs slechtste (~ 11.1avg)
8 cijfers: ~ 92.5 dagen slechtst (~ 46avg)
10 cijfers: ~ 9259 dagen slechtste (~ 4629avg)- Matthew Green (@matthew_d_green) 16 april 2018
In september 2014 heeft Apple schijfversleuteling als standaard ingesteld op de iPhone.
Terwijl volledige schijfversleuteling uw gegevens beschermt, kan iemand die uw toegangscode kan raden uw gegevens gemakkelijk lezen of extraheren. Nadat uw apparaat met succes is ontgrendeld met behulp van de kraakbox, wordt de volledige inhoud van het bestandssysteem gedownload naar het GrayKey-apparaat, inclusief de niet-gecodeerde inhoud van de sleutelhanger van het systeem.
Uw accountgegevens, namen en telefoonnummers, e-mails, teksten, bankgegevens en zelfs creditcardnummers of sofinummers zijn toegankelijk via een webgebaseerde interface op een aangesloten computer voor analyse.
Ryan Duff, een onderzoeker die iOS heeft bestudeerd en de directeur van Cyber Solutions voor Point3 Security, vertelde Motherboard in een online chat:
Mensen moeten een alfanumerieke toegangscode gebruiken die niet vatbaar is voor een woordenboekaanval en die ten minste 7 tekens lang is en een combinatie van ten minste hoofdletters, kleine letters en cijfers heeft. Het toevoegen van symbolen wordt aanbevolen en hoe ingewikkelder en langer de toegangscode, hoe beter.
Sinds de release van iOS 9 vereist Apple standaard een 6-cijferige toegangscode.
Als u de beveiliging van uw iPhone of iPad wilt verbeteren, kunt u de sterkte van uw toegangscode nog meer verhogen door een aangepaste numerieke toegangscode of een alfanumeriek wachtwoord in te stellen.
Als ik jou was, zou ik een alfanumeriek wachtwoord instellen.
Natuurlijk, het typen van een lange alfanumerieke code is een pijn in de je-weet-wel, maar omdat het meerdere letters en cijfers bevat, zal het ongelooflijk sterker zijn dan die gemakkelijk te kraken 6-cijferige toegangscodes. Oh, en zorg ervoor dat u de lengte van uw wachtwoord controleert. Mensen die back-ups hebben hersteld bij het upgraden naar nieuwere iPhones, kunnen nog steeds 4-cijferige toegangscodes hebben.
Apparaten zoals de GrayKey-box zullen werken totdat Apple de exploits herstelt waarop ze vertrouwen, op welk moment bijgewerkte iPhones niet langer vatbaar zijn voor dergelijke wachtwoordaanvallen. Voor degenen die zich afvragen, werkt het GrayKey-apparaat op de nieuwste hardware met iOS 11.2.5.
Heldenbeeld: GrayKey iPhone-kraakdoos, met dank aan Malwarebytes