Apple heeft onlangs de codering in nieuwe updates van het iOS 8-besturingssysteem zodanig versterkt dat niemand, zelfs niet de politie of Apple zelf, de beveiligingsgrenzen zou kunnen overschrijden. Het lijkt een lastige klus om gegevens van iOS 8 te kraken. Gelukkig voor hackers en wetshandhavers is er een zeker zwak punt in de beveiligingsband, en dat is de gebruiker zelf.
Joseph Bonneau van Princeton University zegt dat de nieuwe encryptiebenadering van Apple zo sterk is als de zwakste schakel, verwijzend naar hoe gebruikers hun toegangscode voor hun eigen apparaten kiezen. En vaker wel dan niet, implementeren gebruikers geen sterk wachtwoord, wat Apple’s claim van sterke encryptiebeveiliging ondermijnt.
Apple heeft een nieuw coderingsmodel ontworpen om gevoelige informatie die op hardware is opgeslagen te beschermen om te voorkomen dat potentiële aanvallers en niet-aanvallers, zoals wetshandhavers, toegang krijgen tot de gegevens. De aankondiging van de coderingstool op iOS-apparaten heeft Amerikaanse overheidsfunctionarissen ongerust gemaakt dat het de snelheid van cybercriminaliteit zou kunnen verhogen. Wetshandhavers constateren soms dat het mogelijk is om met een gerechtelijk bevel gegevens van mobiele apparaten te verkrijgen als onderdeel van het onderzoeksproces.
Maar bescherming, hoe sterk ook, kan onder bepaalde omstandigheden nog steeds worden verzwakt wanneer een gebruiker een zwak wachtwoord zou gebruiken dat aanvallers gemakkelijk kunnen raden met behulp van de cryptoprocessor van een mobiel apparaat. De cryptografische coprocessor die bekend staat als de Secure Enclave bevat sleutels die verantwoordelijk zijn voor het versleutelen van iPhone-gebruikersgegevens. Zodra Secure Enclave in handen valt van kwaadwillende spelers, kan een potentieel datalek van iOS-apparaten worden uitgevoerd door wachtwoorden te raden. Andere aanvallers zouden ook hun toevlucht nemen tot brute force-aanvallen.
Maar daarvoor zou een aanvaller het in het begin zeker moeilijk vinden om een apparaat op te starten met externe firmware als eerste stap die leidt tot het kopiëren van gegevens van een iPhone-apparaat. Volgens Bonneau moet een aanvaller eerst de veilige opstartfase van iOS 8 omzeilen.
Daarin ligt het zwakke punt, omdat Apple gebruikers vraagt om een viercijferig wachtwoord in te voeren. Dat is de standaardvereiste, dus de meeste gebruikers, en een groot deel van de Apple-gebruikers, maken zich waarschijnlijk schuldig aan deze lakse beveiligingspraktijk. Natuurlijk is er een optie om langere toegangscodes in te voeren, maar dat is persoonlijk een zeer lastige taak, vooral als je het op een aanraakscherm doet.
Nog iets, als u een iPhone gebruikt, gebruik dan nooit dezelfde toegangscode voor al uw apparaten.
