iPhone- og iPad-koder kan læses på seks minutter

Men man kan vel næppe blaime Apple for dette? Når udgangspunktet er at telefonen skal være jailbraket.
Det kræver jo som minimum et vidst stykke tid med telefonen i hånden udover de 6min.

Nu det igen?

For at gøre en lang historie kort: Når SSH service installeres på en iOS enhed har den en standardadgangskode som er "alpine".

Hvis du ikke skifter denne adgangskode vil ALLE kunne bryde ind på din iOS enhed via. SSH så længe tjenesten er åben og gøre hvad de vil.

Derfor: Hvis du jailbreaker så skift din kode til noget anden end "alpine" eller lad være med at køre SSH tjenesten.

#2, gider du læse artiklen?

#2, gider du læse artiklen?apkat (#3)

Netop.. I dette tilfælde stiller man det jo op ad, at den IKKE er jailbreaket. Derfor er dette muligt.

Er det ikke det du hentyder til apkat ^^?

Netop.. I dette tilfælde stiller man det jo op ad, at den IKKE er jailbreaket. Derfor er dette muligt.

Er det ikke det du hentyder til apkat ^^?exetico (#4)

Efter at have jailbreaket telefonen, installeres en SSH-server på telefonen, som gør det muligt at afvikle software. Herefter skal et script, som giver adgang til Keychain, kopieres til telefonenArtikkel

Ifølge denne del af artiklen, forstår jeg det også som 2#

#4, jeg hentyder til at det problem #2 nævner overhovedet ikke har noget med sikkerhedsproblemet at gøre.

#5, ja hurra de installer ssh på den. Det er netop for at køre kode på den. så de kan udnytte sikkerhedsproblemet.

Damn.

Vil faktisk tro at en jailbreaket iPhone er mere sikker, for så skal de finde kodeordet til denne før de kan køre deres shizzle.

#1
Noget der undrer mig er at så mange koder ligger samlet og umiddelbart ikke virker særlig godt beskyttet.

Nu jeg ikke helt inde i det her med kryptering, plain text og lignende. Men der mangler da et eller andet her fra Apple's side af? Eller misser jeg noget?

#1 Udgangspunktet er vel en ikke-jailbreaket-tlf?

Efter som step 1 er at jailbreake og går da ud fra at uret starter med at tikke der...

Tror dog ikke jeg ville regne evt. koder jeg måtte have på en mistet telefon for sikre...

#4, jeg hentyder til at det problem #2 nævner overhovedet ikke har noget med sikkerhedsproblemet at gøre.apkat (#6)

Det er jo ikke et sikkerhedshul der kan lukkes på nogen måde. Opsætter man adgangskoder på sin telefon vil de altid være tilgængelige hvis andre får fysisk adgang til den. Hvis din computer bliver stjålet vil folk også være i stand til at finde dine adgangskoder du har gemt i din browser. Det eneste der kan stoppe den slags er kryptering.

Et værre problem, som jeg netop omtaler i mit første indlæg, er muligheden for at en virus kan stjæle dine adgangskoder, uden at din telefon fysisk er stjålet fra dig.

#9 nu stopper du. Der står i artiklen det er krypteret men nøglen let kan findes.

Angrebet er ifølge forskerne muligt, fordi den kryptografiske nøgle, som er brugt til krypteringen, er baseret på materiale inde i telefonen, og som ikke er tilknyttet brugerens adgangskode. Dårlig design

Så er den vel ikke længere. En dårlig design, som kun Apple selv er skyld i.

Men man kan vel næppe blaime Apple for dette? Når udgangspunktet er at telefonen skal være jailbraket.
Det kræver jo som minimum et vidst stykke tid med telefonen i hånden udover de 6min.Azuria (#1)

Har du set videoen?
De laver en jailbreak og henter koderne på netop 6 min....

Maaske bare mig, men kan ikke se den reelle nyhedsvaerdi, har svaert ved at se at der skulle vaere nogen katastrofe i dette, hvis folk har nakket din tlf saa er det da traels uanset hvad, og ingen med respekt for sig selv har da alvorligt vigtige data liggende som blot kan hentes uden problemer naar man har adgang til telefonen.

#13 går stærkt ud fra du bruger din smartphone til din email, hvis du har logget på din email kan netop denne kode hentes ved brug af denne form for hack efter hvad jeg har forstået på artiklen.

#13

For en firma der har ansatte med adgang til WLAN, activesync etc så kan dette være kritisk. Activesync bruger jo samme bruger/pwd som AD kontoen.

#9 nu stopper du. Der står i artiklen det er krypteret men nøglen let kan findes.apkat (#10)

Nej jeg stopper ikke, for det er dig der ikke helt forstår hvad tingene handler om.

Der er forskel på kryptering hvor nøglen:
1) er en adgangskode fra brugerens side
2) kan findes andetsteds på enheden uden at brugeren skal indtaste noget.

I sidstenævnte tilfælde kan man ALTID få adgang da telefonen jo liver nødt til at låse op for denne kryptering for selv at kunne få adgang til informationerne. Selvfølgelig kan nøglen let findes. At låse op for en softwarekryptering hvor nøglen er gemt lokalt er ikke raketvidenskab.

Alternativet er at brugeren selv skal generere krypteringen med sin egen adgangskode og derved indtaste den adgangskode hver gang han skal benytte en service på telefonen der kræver en gemt adgangskode, men i det tilfælde kunne man jo lige så godt spare mellemtrinet og bare indtaste sin G-mail adgangskode hver gang man skal checke sin mail på sin telefon.

Så er den vel ikke længere. En dårlig design, som kun Apple selv er skyld i.Mr_Mo (#10)

Det har intet at gøre med "dårligt design". Det er en begrænsning på alle krypteringssystemer som bruger en lokal nøgle.

Der er kun tre måder du kan rette dette design på:
1) Krypter med en adgangskode som brugeren så skal benytte hver gang han vil på sine adgangskodebaserede tjenester
2) Benyt hardwareunderstøttet kryptering.
3) Fraråd brugeren at gemme sine adgangskoder på enheden (eller gør det umuligt)

Nr. 1 ødelægger hele ideen med at gemme sine adgangskoder til at starte med. Nr. 2 kræver specialiseret hardware = dyrere telefon (samt at det stadigvæk ikke er ubrydeligt da nøglen stadigvæk kan findes lokalt. Det er bare meget sværere). Nr. 3 er en måde at snige sig uden om problemet på, men det er ikke en løsning i sig selv.

Øh... Er jeg den eneste der har set videoen?

Det første de gør er jo at jailbreake den.

Uden at taste skærmkoden.

Overhovedet.

Hvordan er det ikke et problem?

#14 = #15 Ja, men nu kan man for det foerste sige at de stoerre firmaer nok ikke lige render rundt med en iphone, og hvis de gjorde saa vil jeg jo nok mene at de har fokus paa at man ikke bare lige har adgang til mails uden yderlige sikkerhed. En kode der bestaar af 4 cifre ved man jo godt ikke er saerlig sikker.. ligesom hvis en mister sin tlf jo selvf. ogsaa hurtigst mulig vil faa blokeret sine kontis.

Er jo ikke meget anderledes end hvis du faar stjaalet din baerbare, tager jo heller ikke mange sek. at bryde windows\ kodeord...

Øh... Er jeg den eneste der har set videoen?

Det første de gør er jo at jailbreake den.

Uden at taste skærmkoden.

Overhovedet.

Hvordan er det ikke et problem?luuuuu (#17)

Så længe fabriksindstillingerne kan genoprettes uden at indtaste adgangskoden kan en telefon jailbreakes uden adgangskoden.

Ikke noget Apple kan gøre ved det.

apkat er du en lille fanboy, hvorfor er vores indlaeg irrelevante +

apkat er du en lille fanboy, hvorfor er vores indlaeg irrelevante +webwarp (#20)

The incident has been reported to the Cyber Police.

apkat er du en lille fanboy, hvorfor er vores indlaeg irrelevante +webwarp (#20)

Fordi han er en af de folk der er omtalt i min dejlige forum-signatur :-)

#16, det er jo en hel anden historie du er inde på der. Du påstod i #9 der ikke var nogen kryptering.

#18, siden hvornår har "storre firmaer" ikke brugt iPhones (iPx enheder)?

#19, vel en meget god pointe han har der. Og hvis de gendanner så ryger alt vel på telefonen..

#22, vil du have en længere redegørelse for mine ratings?

#13
Man bruger vel kryptering, fordi det matematisk set er umuligt at bryde indenfor rimelig tid. At Apple har valgt en dårlig implementering, har vel en høj nyhedsværdi.

Det ville være det samme, at man kunne bryde kryptering på en harddisk krypteret med TrueCrypt. Ja, du har fysisk adgang til disken, men grunden til at du har brugt kryptering er vel for at sikre dine data ved fysisk adgang og ikke telepatisk adgang...

Det har intet at gøre med "dårligt design". Det er en begrænsning på alle krypteringssystemer som bruger en lokal nøgle.Athinira (#16)

Nu kender jeg ikke til krypteringssystemer. Men som nyheden skriver (det jeg citerede i #11), så istedet for at bruge en lokal nøgle, så knyt det til brugerens nøgle (password) som jo ikke er gemt lokalt, men brugeren selv skal huske. Eller er jeg helt galt på den?

#23 siden den foeste udkom.
#24 er da overhovedet ikke det samme, du gider da ikke taste 20 tegn som password hver gang du vil aabne din telefon, det bliver \aldrig' nogensinde sikker, i og med at du gider taste faa tegn for at laaese telfonen, saa er ingen kryptering god nok naar antallet af mulige kombinationer bliver saa lav. Saa skulle de som et min. udvide med at man kunne skrive andet end tal..

Hvis dine data er hemmelige, saa hoerer de altsaa ikke hjemme paa en telefon. De, der vil have en mellemvej koerer nok blackberry.

#16, det er jo en hel anden historie du er inde på der. Du påstod i #9 der ikke var nogen kryptering.apkat (#23)

Gjorde jeg så faktisk ikke. Jeg påstod at den eneste måde man kan komme det til livs på er vel at mærke MED kryptering.

Skulle måske have specificeret at jeg mente reel kryptering hvor en adgangskode er nøglen :-)

#19, vel en meget god pointe han har der. Og hvis de gendanner så ryger alt vel på telefonen..apkat (#23)

Min pointe var at så længe en funktion til gendannelse eksisterer, så vil jailbreaks kunne benytte samme vej ind.

Nu kender jeg ikke til krypteringssystemer. Men som nyheden skriver (det jeg citerede i #11), så istedet for at bruge en lokal nøgle, så knyt det til brugerens nøgle (password) som jo ikke er gemt lokalt, men brugeren selv skal huske. Eller er jeg helt galt på den?Mr_Mo (#24)

Hele ideen med systemet er jo at gemme adgangskoder så brugeren slipper for at taste dem ind hver gang han skal checke sin mail eller lign. Ved at knytte en kryptering til en adgangskode kræver det jo at brugeren indtaster krypteringskoden hver gang, hvilket gør hele ideen nyttesløs.

Så kunne man jo lige så godt springe systemet helt over og bare bede brugeren taste sin kode til sin mail/whatever i stedet.

Hele ideen med systemet er jo at gemme adgangskoden så brugeren slipper for at taste den ind hver gang han skal checke sin mail eller lign. Ved at knytte en kryptering til en adgangskode kræver det jo at brugeren indtaster krypteringskoden hver gang, hvilket gør hele ideen nyttesløs.Athinira (#26)

Altså jeg tænkte på, at man kunne knytte det til koden han indstiller det på i videoen: qwert1? Det burde vel nemt kunne lade sig gøre?

Men ok, hvis brugeren ikke har sat nogen som helst adgangskode, så har du ret.

Altså jeg tænkte på, at man kunne knytte det til koden han indstiller det på i videoen: qwert1? Det burde vel nemt kunne lade sig gøre?Mr_Mo (#27)

Alt for svag kode. Du skal op på 12+ cifre før den kan betragtes som nogenlunde stærk nok.

De fleste iPhone-brugere vælger desuden den 4 cifrede talkode, hvilket kan brydes på 1 sekund af en moderne computer.

#28
Ja, det er alt for svag. Så kunne Apple lave en lille bar der viste rød, gul og grøn alt efter hvor sikkert ens kodeord var, hvor grøn er den sædvanlige 8 karaktere med mindst en tal, stor og lille bogstav, som er endnu sikrere end blot 12 cifre.

Pointen er, som jeg tidligere skrev, at dem der benytter kode og kryptering, gør det fordi de har en vis forventning om, at deres data er nogenlunde sikre. 6 minutter er ikke sikker nok imho. Så jeg vil stadig mene, at dette har en nyhedsværdi.

Nu er jeg ikke krypto nørd men andre telefoner må da have samme svaghed? eller hvad ?

#14 = #15 Ja, men nu kan man for det foerste sige at de stoerre firmaer nok ikke lige render rundt med en iphonewebwarp (#18)

Nåh nej...hvad med Avaya? Oracle? Kraft Foods? GE? (Folketinget? Ikke et firma, men dog) Etc. Etc.

http://www.businessweek.com/technology/content/may2009/tc2009054_744579.htm

http://iphonecto.com/2009/02/19/5-businesses-using-iphone-so-far/

https://www.apple.com/iphone/business/profiles/

Ja, man kan benytte remote wipe etc. men det er jo ikke 100% sikkert heller.

er da overhovedet ikke det samme, du gider da ikke taste 20 tegn som password hver gang du vil aabne din telefon, det bliver \aldrig' nogensinde sikker,webwarp (#25)

Når jeg skal sætte en password på min Windows mobile, har jeg to muligheder, stærk eller enkel. Den stærke SKAL indeholde 7 tegn, med mindst 3 af følgende: tal, tegnsætningstegn, store eller små bogstaver. Nu er windows mobile et gammel system, så ifølge dagens standard ville kravet blive sat op til 8 tegn. Det burde være sikkert nok, i det mindste mere sikker end 6 minutter. Så vidt jeg ved, er den eneste mulighed hard reset (eller brute force) for at fjerne den. Hvis Microsoft har indbygget den funktion, så er det nok fordi, der findes nogen der godt gider at skrive en 7 tegns lang kombination af bogstaver og tal ind, hver gang de skal bruge deres telefon.

Saa skulle de som et min. udvide med at man kunne skrive andet end tal..webwarp (#25)

Se videoen, koden de bruger er qwert1, mon ikke man også kunne bruge fx oT4Xa9sT, eller måske endda smide en komma eller punktum ind. Jeg ved ikke, jeg har ikke iPhone.

Hvis dine data er hemmelige, saa hoerer de altsaa ikke hjemme paa en telefon. webwarp (#25)

Jo. Kryptering fungerer altså fint. Er det fordi du gerne vil have link til et matematisk bevis før du vil tro mig? Alle burde vide nu om dage at kryptering er en udmærket måde at sikre sine data på.

Ellers ville folk bare sætte Wikileaks' insurance ind på deres telefon, så ville den blive cracket indenfor 6 minutter ifølge din logik...

Altså det med de 6 min er vel kun fordi der ligger et standard password i telefonen som ikke er blevet ændret? Er det så ikke bare et spørgsmål om at guide Apple folk til hvordan man ændre det? Selvom jeg da godt ved at mange Apple folk helst ikke vil have at det skal blive så teknisk.

Hvis man mister sin computer, så betyder det jo ikke at alle koder på dem bliver nuppet. Hvis computeren har en 256 til 512 kryptering, så brydes den sikkerhed ikke lige med det samme, bare spørg Wikileaks som andre har været inde på. Selv med nogle af de største supercomputere idag kan man nemt lave krypteringer der ikke kan brydes på under et døgn. Det kan så tage noget tid at lave krypteringen.

Men skulle der laves en nøgle til at beskytte denne keychain, så vil det da være nemmere for brugeren kun at skulle bruge 1 kode til det hele på telefonen, istedet for at skulle bruge 5? Og så skal den kode jo kun indtastes når man vil bruge ting der skal bruge en kode, f.eks. e-mail eller adgang til køb af apps, osv. Hvordan telefonen låses kan man vel selv bestemme? Tja, måske iPhone kun tilbyder en måde at låse telefonen på.

Men hvad angår erhvervs telefoner, så ja, alle virksomheder som er seriøse med at telefonerne rent faktisk skal bruges som et erhvervs redskab, og ikke bare en smart ting at snakke i, der er det kun Blackberry og vidst nogen få Nokia telefoner som virksomheder har godkendt. Hvad angår regeringen så skal man nok ikke regne med at de går voldsomt højt op i sikkerhed. De går op i at få fordele ved at være politiker, og billige priser på de produkter staten køber af privat virksomheder. Og iPhones kunne da nok ses som en arbejdsgode at have. De er jo også ved at prøve at få godkendt iPad til brug i folketinget. Trist at tænke på hvor lidt de har undersøgt omkring sikkerheden på sådan en. Så vidt jeg ved burde der ikke være synderligt mere sikkerhed på sådan en.

Hva' kan man sige... velkommen til pøblen, æbler:-D

#ALLE

Se #17 og stop jeres fanboy mumbo jumbo.

#ALLE

Se #17 og stop jeres fanboy mumbo jumbo.nbn (#35)

Se #19 og kom igen.

#36

se #23...

What? Diskuterer i nu bare ved at refere til allerede skrevne indlæg. Lolwut?

#32 man kan godt slå passwords til (i stedet for firecifrede koder) i iOS, men det er nok de færreste der gør det. Under alle omstændigheder hjælper det jo ikke på problemer her, som er at keychain er låst med et separat, statisk, password.

På Mac OS er keychain låst med login password, som den bør.

man kan godt slå passwords til (i stedet for firecifrede koder) i iOS, men det er nok de færreste der gør det.cryo (#39)

Dem der gør det, gør det nok fordi de har en vis forventning om at kryptering sikrer deres data? Det gør det altså ikke i dette tilfælde.

nder alle omstændigheder hjælper det jo ikke på problemer her, som er at keychain er låst med et separat, statisk, password.cryo (#39)

Det er jo hvad nyheden går ud på og det skyldes altså Apple's design.

Dem der gør det, gør det nok fordi de har en vis forventning om at kryptering sikrer deres data? Det gør det altså ikke i dette tilfælde.Mr_Mo (#40)

Apple eller iOS har aldrig nogensinde insinueret at pinkoden på telefon er en krypteringskode.

Hvis folk har forventninger omkring dette, så er det deres forventninger der er noget galt med, ikke telefonen.