IOS 11.4.1: iPhone-wachtwoorden zijn nog steeds niet helemaal veilig tegen hackers

Maandag's release van de iOS 11.4.1-software-update bevatte de typische bugfixes, maar ook de introductie van USB-beperkte modus - de nieuwste anti-hackfunctie van Apple. Deze voorzorgsmaatregel was bedoeld om een ​​USB-verbinding te houden van het downloaden van gegevens via de Lightning-poort om de toegangscode van de iPhone of iPad te kraken, tot het juichen van privacyactivisten.

Dat gezegd hebbende, beweren een team van beveiligingsonderzoekers van de Russische firma ElcomSoft een manier te hebben gevonden om de USB Restricted-modus volledig te schoppen.

Volgens de digitale forensisch expert Oleg Afonin zal dit de maatregel alleen omzeilen als deze niet is ingeschakeld. Daartoe heeft het bedrijf "geen voor de hand liggende manier" gevonden om de USB Restricted Mode te verbreken wanneer deze al actief is.

iOS 11.4.1 Update: wat doet de USB-beperkte modus?

Tools zoals GrayKey maakten het mogelijk voor rechtshandhavingsinstanties en kwaadwillende actoren om iPhones te ontgrendelen door gegevens over te hevelen van de Lightning-poort van het apparaat.

Voordat de USB-beperkte modus werd geactiveerd, zouden iPhones en iPads de toegang tot gegevens via de Lightning-poort uitschakelen nadat zeven dagen nadat de telefoon of tablet inactief was om de tijd te beperken dat iemand crackers zoals GrayKey kon gebruiken. Deze nieuw geïntroduceerde beveiligingsmaatregel heeft die tijd teruggebracht tot een uur.

Als de USB Restricted-modus is ingeschakeld, zullen apparaten die 60 minuten niet zijn ontgrendeld dat wel enkel en alleen kunnen opladen met behulp van de Lightning-poort. Als u probeert een afspeellijst met een laptop te synchroniseren of iets anders te doen waarvoor toegang tot gegevens vereist is, wordt u gevraagd om de toegangscode.

iOS 11.4.1 Update: wat is de oplossing?

Afonin beweert te hebben ontdekt dat deze timer van een uur kan worden gereset door de iPhone of iPad eenvoudig in een Lightning-naar-USB-adapter te pluggen. Blijkbaar kan zelfs Apple's Lightning-naar-USB 3 camera-adapter van 39 dollar worden gebruikt om dit te doen. Afonin beweert midden in een medley van andere adapters te testen om te zien of ze in staat zijn hetzelfde te doen.

"Wat we ontdekten, is dat iOS de countdown-timer voor USB Restrictive Mode zal resetten, zelfs als de iPhone wordt aangesloten op een niet-vertrouwd USB-accessoire, een accessoire dat nog nooit eerder aan de iPhone is gekoppeld", zegt hij in een blogpost. "Met andere woorden, zodra de politieagent een iPhone in beslag neemt, moet hij of zij die iPhone onmiddellijk aansluiten op een compatibel USB-accessoire om te voorkomen dat de USB Restricted Mode na één uur wordt vergrendeld."

Natuurlijk vereist deze maas in de wet nog steeds dat een hacker of een wetshandhavingsfunctionaris binnen een uur na ontgrendeling fysieke toegang heeft tot een apparaat. Dit maakt het ongetwijfeld veiliger dan Apple's voormalige zevendaagse lock-out, maar ook niet echt waterdicht.

Hoewel Apple niet onmiddellijk heeft gereageerd op een verzoek om commentaar, is het meer dan waarschijnlijk dat deze beveiligingsfout wordt hersteld in toekomstige software-updates.