Nieuwe verdediging tegen kraken iPhone-pincode is niet waterdicht

Apple heeft deze week iOS 11.4.1 beschikbaar gemaakt. De update introduceert onder meer USB Restricted Mode, een beveiligingsmechanisme dat met name bedoeld lijkt om inbraak in iPhones door middel van kraaktools tegen te gaan. De nieuwe functie is evenwel niet waterdicht.

Op papier klinkt het nochtans wel als een waterdichte oplossing. USB Restricted Mode blokkeert alle USB-toegang wanneer een toestel langer dan een uur vergrendeld is. Daarmee wordt het kraken van iPhone-pincodes met tools zoals de GrayKey van Grayshift in principe onmogelijk gemaakt.

De GrayKey injecteert via de Lightning-poort software in een vergrendelde iPhone om de pincode te achterhalen. Dat proces kan enkele uren tot dagen duren, afhankelijk hoe sterk de pincode is. Het kraakapparaat wordt onder meer gebruikt door politiediensten om toegang te krijgen tot vergrendelde iPhones van verdachten.

 

grayshift graykey
De Graykey van Grayshift

USB Restricted Mode voorkomt dat een aanvaller software via de Lightning-poort in een vergrendelde iPhone kan injecteren. Het maakt niet uit welke exploits bestaan, als ze niet kunnen worden misbruikt omdat Apple de toegangspoort dichttimmert. Waterdicht plan, ware het niet dat Apple schijnbaar één detail over het hoofd heeft gezien.

Voorkomen

De security-onderzoekers van ElcomSoft, dat zelf gespecialiseerd is in mobile forensics, hebben de nieuwe functie uitgebreid getest en besluiten dat er geen manier is om USB Restricted Mode te omzeilen van zodra de functie is geactiveerd. De beveiliging blijft ook na meerdere reboots en systeemherstel van het toestel actief. Het blijkt echter wel mogelijk om te voorkomen dat Restricted Mode wordt geactiveerd, zo tonen de onderzoekers aan.

“Wat we ontdekten, is dat iOS de countdown-timer voor USB Restrictive Mode zelfs reset wanneer een niet-vertrouwd USB-accessoire wordt aangesloten dat nog nooit eerder met de iPhone werd gekoppeld”, zegt Oleg Afonin van ElcomSoft.”Met andere woorden, als een politieagent een iPhone eenmaal in beslag heeft genomen, moet hij of zij het toestel onmiddellijk aansluiten op een compatibel USB-accessoire.”

 

lightning naar usb 3

 

De onderzoekers gebruikten Apples eigen USB-accessoires voor de tests. Ze konden de activering van Restrictive Mode succesvol voorkomen met een Lightning-naar-USB-3.0-adapter. Met een Lightning-naar-audiojack-adapter lukte het niet. Het team gaat de tests nu herhalen met goedkope USB-accessoires van derde partijen, en is vrij zeker dat het ook daar mee zal lukken.

De enige vereiste voor deze methode om te werken, is dat de iPhone niet langer dan een uur geleden werd ontgrendeld. De kans dat een toestel op het moment van inbeslagname minder dan een uur geleden actief was, is best hoog. ElcomSoft citeert cijfers van twee jaar geleden, waaruit blijkt dat gebruikers hun iPhone gemiddeld 80 keer per dag ontgrendelen.

Gemist detail

De onderzoekers vermoeden dat het simpelweg om een nalatigheid gaat van Apples kant, die kan worden verholpen in een toekomstige update. Zolang dat niet gebeurt, betekent het wel dat politiediensten – of andere partijen die er baat bij hebben om in je iPhone in te breken – systemen kunnen ontwikkelen die de activering van USB Restricted Mode voorkomen.

“Met de release van iOS 11.4.1 kan de correcte procedure voor het in beslag nemen en transporteren van iPhone-apparaten worden gewijzigd om een compatibel Lightning-accessoire te bevatten. Voor iOS 11.4.1 was het isoleren van de iPhone in een Faraday-zak en het aansluiten op een batterij voldoende om het apparaat veilig naar het lab te transporteren”, besluit Afonin.