Apple: - Det er helt umulig å hente ut data fra låste iPhone-telefoner

[Leorand]

Ganske interessant når man samtidig har "Safe Harbor"-avtalen i bakhodet...

[Luske_Ludvig]

Bare spill for galeriet. Seff kan data hentes ut av antiterrormyndigheter. Alt annet hadde vært galskap

[UrgeLoL]

Bare spill for galeriet. Seff kan data hentes ut av antiterrormyndigheter. Alt annet hadde vært galskap

Galeriet? Ganske så passende skrivefeil

[_dundun_]

Bare spill for galeriet. Seff kan data hentes ut av antiterrormyndigheter. Alt annet hadde vært galskap

 

Fellestrekket til alle som sier det der er at de ikke har peiling på datasikkerhet. Med mindre NSA har fungerende kvantedatamaskiner er det ikke mulig å bruteforce moderne kryptering innenfor et fornuftig tidsrom.

 

@Audun Jeg ville aldri stolt på at en løsning var 100% sikker, og absolutt umulig å knekke. Det kan godt være at den er ekstremt sikker, og at selv med store ressurser er det svært usannsynlig at den blir brutt. At den er 100% derimot, klarer jeg ikke å få meg selv til å stole på. Og det er nok garantert så vanskelig at det er ingen som kan kunne forsvare å bruke tid på dette, kontra å finne informasjon på andre måter. Og hvis du ser på forskjellen mellom Facebook og Kakao Talk og dette, så finner du lett ut hvem det er best å gå etter. Merkelig at FB er nr 1 når du ser på hvordan tjenesten deres er...

 

Ellers angående det at du velger å legge ting i skyen eller ikke. Det største sikkerhetsproblemet er jo ofte personen, og ikke systemet. Så selv om Apple skaper et sikker miljø, så kan de jo umulig hindre brukeren i å legge ting også andre steder. Og det gjør de jo og svært ofte. Slik som med bildene fra iCloud (vet ikke helt hvordan de fikk tak i dem, fordi jeg ikke fulgte med på saken, men de kan umulig ha hacket iCloud for å få dem?)

 

 

Det gjør du selvsagt rett i - for selv om en løsning er 100% sikker i teorien kan det alltid finnes implementasjonssvakheter. Selv om man skulle ha full sikkerhet må man aldri anta at man har det.

 

Når det gjelder iCloud var det gode gamle svake passord og social engineering. Som alltid. 

Endret 22. oktober 2015 av Audun_K

[nism0o]

Er det fortsatt like enkelt å bruke en stjålet android telefon? Dvs hard reset å sette den opp som ny?

[_dundun_]

Er det fortsatt like enkelt å bruke en stjålet android telefon? Dvs hard reset å sette den opp som ny?

 

Gudene vet, men det er iallfall skikkelig kryptering på de fleste nyere Androidtelefoner også, så om den blir stjålet er det bare maskinvaren som forsvinner, ingen får tilgang til data. Og fra Android 6 blir det enda bedre - da blir full kryptering et krav fra Google. 

[havarhen]

 

Syns amerikanske myndigheter skal snakke med ekspertene på forumet til itavisen, for det er mulig å hente ut. Applr bare lyver!

 

Hvordan kan du bryte den krypteringen med dagens teknologi? Ikke at jeg ikke tror deg men vil gjerne se linken og historien

Jeg fant ikke linken igjen. Men brukeren på ITavisen overdrev voldsomt. Som det stod i artikkelen, er det mulig å få tilgang til deler av iPhone-innholdet, om de som er ute etter denne informasjonen samtidig har tilgang til en Mac eller PC som telefonen har blitt synkronisert mot en gang. Da kan man få tilgang til bildene og data fra app-er på telefonen, uten å ha låsekoden. Men kun om telefonen ikke har blitt avslått etter at den ble beslaglagt. Det er _ikke_ mulig å få tilgang til SMS-er eller anropslogg uten å ha koden til telefonen.

Siden en god del brukere kun synkroniserer telefonen mot iCloud i dag, og ikke mot iTunes, så er det en enda mindre sjanse for at dette er mulig.

 

Jeg tror uansett ikke at etterforskerne har hatt telefonen påslått hele tiden etter at den ble beslaglagt.

[PL610]

Hva med "krev kode umiddelbart" når man vekker telefonen?

Noe som fungerer som en lek med Touch ID.

[coffeeh]

Er det fortsatt like enkelt å bruke en stjålet android telefon? Dvs hard reset å sette den opp som ny?

tl;dr: såvidt jeg vet - nei..

 

På min nexus 6 (android 6.0 M) må jeg først inn i developer settings for å tillate opplåsing av bootloader, noe som er et krav for å kunne reflashe telefonen.. (dvs må først ha låst opp telefonen med pin/pattern etc, for å kunne gjøre det mulig å låse opp bootloader)..

 

Såå.. forutsett at man etter en reflash låser bootloader, og deaktiverer muligheten til å låse opp bootloader, så er det ikke mulig å reflashe/resette en låst telefon. I tillegg er kryptering av hele disken aktivt som standard, (og opplåsing av bootloader sletter all data) så dataene er relativt trygge så lenge telefonen er låst

 

I tillegg er det såklart mulig å fjernlåse/fjernslette telefonen via Android Device Manager

 

EDIT: Jeg er ingen sikkerhetsekspert - så hvis noen vet mer enn meg om hvordan alt det her fungerer, eller eventuelle svakheter i systemet - gjerne korriger meg, eller fyll inn mer info!

Endret 22. oktober 2015 av Saaywhatnow?

[bzzlink]

 

 

 

 

Avhenger vel av om man har telefonens eier i sin "varetekt" eller ei. Når det gjelder politi etc, vi vel de i de fleste tilfeller ha tilgang på telefonens eier, og da gjør biometri det langt enklere for politi å få tilgang på innhold.

 

Det er derfor en god del sikkerhetseksperter ikke er like glade i biometri som eneste "innloggings"- eller åpningsmekanisme. Det åpner nemlig en potensiell annen riskofaktor.

 

 

Såklart. Derfor er det valgfritt å benytte fingeravtrykk - man kan oppnå samme sikkerhet med et skikkelig passord til opplåsning. 

 

Iphone krever at man skriver inn passordet dersom telefonen ikke har vært rørt på en stund (24t?), selv om telefonen ikke har vært slått av som en ekstra sikkerhet.

 

Det positive med å brukefingeravtrykksleser er at man kan bruke en lang alfanumerisk kode, og slippe å taste den så ofte. vil tro det er lettere å bruteforce en telefon som har 4sifret tallkode, ift. en med passord på 12 alfanumeriske tegn.

 

Ser at det diskuteres i USA om politiet har rett til å kreve at man låser opp telefonen med fingeravtrykk, dersom de har en rettkjennelse på det. Noen mener dette kan sammenlignes med at man må gjøre en nøkkel tilgjengelig for politiet.

 

Mens man ikke behøver å oppgi en kode, som ikke er en fysisk gjenstand. Det er beskyttet i grunnloven at man ikke trenger å vitne mot seg selv, ved å oppgi informasjon som kan føre til at man blir tiltalt.

[cannibalguppy]

 

 

 

Avhenger vel av om man har telefonens eier i sin "varetekt" eller ei. Når det gjelder politi etc, vi vel de i de fleste tilfeller ha tilgang på telefonens eier, og da gjør biometri det langt enklere for politi å få tilgang på innhold.

 

Det er derfor en god del sikkerhetseksperter ikke er like glade i biometri som eneste "innloggings"- eller åpningsmekanisme. Det åpner nemlig en potensiell annen riskofaktor.

 

 

Såklart. Derfor er det valgfritt å benytte fingeravtrykk - man kan oppnå samme sikkerhet med et skikkelig passord til opplåsning. 

 

Iphone krever at man skriver inn passordet dersom telefonen ikke har vært rørt på en stund (24t?), selv om telefonen ikke har vært slått av som en ekstra sikkerhet.

 

Det positive med å brukefingeravtrykksleser er at man kan bruke en lang alfanumerisk kode, og slippe å taste den så ofte. vil tro det er lettere å bruteforce en telefon som har 4sifret tallkode, ift. en med passord på 12 alfanumeriske tegn.

 

Ser at det diskuteres i USA om politiet har rett til å kreve at man låser opp telefonen med fingeravtrykk, dersom de har en rettkjennelse på det. Noen mener dette kan sammenlignes med at man må gjøre en nøkkel tilgjengelig for politiet.

 

Mens man ikke behøver å oppgi en kode, som ikke er en fysisk gjenstand. Det er beskyttet i grunnloven at man ikke trenger å vitne mot seg selv, ved å oppgi informasjon som kan føre til at man blir tiltalt.

 

 

I praksis kan politiet både her og der tvinge deg til å bruke fingeravtrykk da det kun er å presse fingeren mot aparatet mens de kan ikke tvinge ut en kode fordi loven sier du kan ha "glemt" den og det kan ikke motbevises og du er også beskyttet mot å vitne mot deg selv.

[TKongen]

Er det fortsatt like enkelt å bruke en stjålet android telefon? Dvs hard reset å sette den opp som ny?

Google implementerte mye Samsung Knox funksjonalitet.

 

Der har du mulighet til kryptering av hele enheten. Du har og mulighet til å låse telefonen fra å bli gjenopprettet/resatt uten Samsung-konto. Samtidig har du og mulighet for å skru på aktiv beskyttelse som umuliggjør ethvert forsøk på root osv. Av det det høres ut som over her har google tatt inn alt dette, men vet ikke om det er på Lolipop, eller om man da må ha 6.0, og evt hva andre produsenter enn Samsung har som sikkerhet til sine telefoner.

 

Samsung har jo og en privat modus.  Du kan altså ha masse greier på telefonen, men velge deler av filene på telefonen innenfor utvalgte apper (som notat, minefiler, bilder osv) som ligger bak et ekstra lag med pin/mønster/fingeravtrykk. Så si at du bruker fingeravtrykk til vanlig på telefonen. Politiet gjør noe ikke helt lovlig og presser fingeren din mot telefonen og sier "den var opplåst", så kan du altså fortsatt ha notatene dine for narkotika leveranser under en ekstra mønster-kode.

 

Kjekt for google å ha masse produsenter som gir dem stadige ideer til hva de kan gjøre

 

Så sikkerhet generelt for alle telefoner begynner å bli ganske bra på disse feltene. Noe som absolutt er bra. Så er det bare å vente på hvor lang tid andre tjenester bruker på dette. Som FB.... Kakao talk lar deg jo kryptere og sikre chatrom med passord, og hele appen for den del. Fullt oppgradert med fullverdig Material Design grensesnitt overalt i hele økosystemet. Det er bra at FB popularitet og penger fører til at de arbeider så mye med appen sin ol.... Ellers er jo ikke Kakao Talk fri for en regjering som prøver å innhente infoen deres, det var på grunn av et slikt forsøk de innførte streng sikkerhet. (Altså mest pga kunder ville jeg anta).

 

 

Ellers tenkte jeg meg at iCloud greiene var svake passord eller noe slikt. Virker unaturlig at et utvalg av kjendiser skal blir rammet om de faktisk brøt seg inn i Apple sine systemer. Så blir det jo et spørsmål om en skal tvinge folk til å velge passord av typen min 8 karakterer, store og små bokstaver, spesialtegn og tall, eller ikke. Folk glemmer jo slike passord oftere, og må be om nye, men de er langt vanskeligere å gjette, uansett hvor enkle folk prøver å lage dem.

 

Ellers er det vel mulig å være heldig med brute force? Treffe den ene komboen som burde tatt en million år å finne? 

 

Er det og ellers slik at når det kommer til kryptering er det langt vanskeligere å legge inn et skjult hull i krypteringen (som da stort sett alle som jobber med det hos Apple, og resten av verden ikke skal kunne oppdage), enn ved andre ting, som f. eks sky-baserte løsninger? For med sky-baserte løsninger kan du jo og alltids aksessere serverene direkte så lenge de står i USA (vel, det er ikke mange som kan stoppe USA fra å sende soldater hvor enn de vil sånn sett...). Og de må jo nødvendigvis ha en slags tilgang til serverene, noe de ikke i det hele tatt har med en iPhone. Så vil ikke bare det å lage et hull være ganske vanskelig også? Uansett hvor lite en tror på USA, så kan en alltids tro på for høye kostnader til at det er verdt det for dem eller ikke.

[Silverino]

Det står New York i artikkelen. Artikkelforfatter regnet nok med at de da ikke trang å skrive land, da de antok at de fleste vet hvilken land New York ligger i.

 

 

Joda, poenget var heller at overskrifta skal være beskrivende nok i seg selv, og når de da skriver "myndighetene" så skal det på ingen måte være noe selvfølge at det skal være snakk om et land som ligger over 7000 km unna, når det kan være så mange andre det kunne være snakk om. USA er ikke klodens midtpunkt.

[mmm...]

Et evt krav om bakdører i krypeteringsmekanismene til produsentene må følges opp med forbud mot og blokkering av 3.parts kryperingsverktøy om snokenes ønske om innsyn skal tilfredsstilles.

[Snowleopard]

 

 

 

 

Avhenger vel av om man har telefonens eier i sin "varetekt" eller ei. Når det gjelder politi etc, vi vel de i de fleste tilfeller ha tilgang på telefonens eier, og da gjør biometri det langt enklere for politi å få tilgang på innhold.

 

Det er derfor en god del sikkerhetseksperter ikke er like glade i biometri som eneste "innloggings"- eller åpningsmekanisme. Det åpner nemlig en potensiell annen riskofaktor.

 

 

Såklart. Derfor er det valgfritt å benytte fingeravtrykk - man kan oppnå samme sikkerhet med et skikkelig passord til opplåsning. 

 

Iphone krever at man skriver inn passordet dersom telefonen ikke har vært rørt på en stund (24t?), selv om telefonen ikke har vært slått av som en ekstra sikkerhet.

 

Det positive med å brukefingeravtrykksleser er at man kan bruke en lang alfanumerisk kode, og slippe å taste den så ofte. vil tro det er lettere å bruteforce en telefon som har 4sifret tallkode, ift. en med passord på 12 alfanumeriske tegn.

 

Ser at det diskuteres i USA om politiet har rett til å kreve at man låser opp telefonen med fingeravtrykk, dersom de har en rettkjennelse på det. Noen mener dette kan sammenlignes med at man må gjøre en nøkkel tilgjengelig for politiet.

 

Mens man ikke behøver å oppgi en kode, som ikke er en fysisk gjenstand. Det er beskyttet i grunnloven at man ikke trenger å vitne mot seg selv, ved å oppgi informasjon som kan føre til at man blir tiltalt.

 

 

I praksis kan politiet både her og der tvinge deg til å bruke fingeravtrykk da det kun er å presse fingeren mot aparatet mens de kan ikke tvinge ut en kode fordi loven sier du kan ha "glemt" den og det kan ikke motbevises og du er også beskyttet mot å vitne mot deg selv.

 

De kan nok sikkert få ut infoen ved vang som du sier, men bevisene vil da bli forkastet av retten. Mange som går fri fordi prosedyrer ikke er fulgt (ikke lest rettighetene ved arrestasjon), så om det er for å få dømt vedkommende i ettertid, så er ikke det akkurat så smart å gjøre.

 

Men du har vel sett endel på tv-serien 24, der landets sikkerhet er viktigere enn en faktisk domfellelse. Men selv der er det brukt kun som siste utvei, eller alternativ rute. Og de gjør det som regel uten vedkommendes kjennskap, ved f.eks. å døve ned vedkommende først.

 

Men egentlig så er det vel lettere å gå på FB! De vet jo alt om en, til og med mere enn en selv klarer å huske på.

 

LOL

[TKongen]

 

Joda, poenget var heller at overskrifta skal være beskrivende nok i seg selv, og når de da skriver "myndighetene" så skal det på ingen måte være noe selvfølge at det skal være snakk om et land som ligger over 7000 km unna, når det kan være så mange andre det kunne være snakk om. USA er ikke klodens midtpunkt.

 

Vel, "myndighetene" er brukt nettopp fordi det ikke sier noe som helst! Så da må folk trykke på artikkelen for å finne ut. Skulle jo ønske overskrifter forklarte ting, og kunne kjapt si hva det handlet om. Slik er det ikke på de fleste nettsider. De lager overskrifter for at folk skal trykke på de. Tek har et system som skifter overskrift osv de første timene, og finner ut hva folk flest velger. Så går de for det.

 

De kan nok sikkert få ut infoen ved vang som du sier, men bevisene vil da bli forkastet av retten. Mange som går fri fordi prosedyrer ikke er fulgt (ikke lest rettighetene ved arrestasjon), så om det er for å få dømt vedkommende i ettertid, så er ikke det akkurat så smart å gjøre.

 

Men du har vel sett endel på tv-serien 24, der landets sikkerhet er viktigere enn en faktisk domfellelse. Men selv der er det brukt kun som siste utvei, eller alternativ rute. Og de gjør det som regel uten vedkommendes kjennskap, ved f.eks. å døve ned vedkommende først.

 

Men egentlig så er det vel lettere å gå på FB! De vet jo alt om en, til og med mere enn en selv klarer å huske på.

 

LOL

Ja, det vil jo i høyeste grad være ulovlig å gjøre det. Likevel ville jeg ikke sagt det var utenkelig at det kan skje, uten at retten finner ut av det. Hvis en politimann bare stryker såvidt over fingeren (sensoren til Apple er jo lynrask) og så bare sier at telefonen var funnet opplåst. Da blir det jo ord mot ord, eller muligens merker ikke den tiltalte at det skjer engang. Det er jo ikke noe å beskymre seg for med mindre man har gjort noe galt da.

[Elliphant]

Hallo folkens, interessante emner dere nevner er og spesielt innblikkene fra brukerne (ref; audun, tkongen).

 

Jeg har et scenario hvor min jobbtelefon som er passkode-beskyttet på siste iOS har blitt brukt til fotografering av en fullstendig husrenovering over ett år. De bildene vil jeg ha før den går i søppla. Den er sliten og skjermen meldte seg ut, jeg kobler til PC (itunes) og får tilkobling opp men den ber meg bekrefte på telefonen at jeg godkjenner. Skjermen er svart så det utgår. Passkode vet jeg selvfølgelig. Jeg syns det er kjedelig og gå til det punktet å kjøpe ny skjerm å bytte ene og alene for og få ut bildene, og lurer derfor på om dette er siste utvei for og få hentet ned bildene? Ironisk nok kobler jeg sjeldent eller aldri opp mot wifien hjemme da 4g er raskere, så iCloud hjelper meg lite her.

[UrgeLoL]

Hallo folkens, interessante emner dere nevner er og spesielt innblikkene fra brukerne (ref; audun, tkongen).

 

Jeg har et scenario hvor min jobbtelefon som er passkode-beskyttet på siste iOS har blitt brukt til fotografering av en fullstendig husrenovering over ett år. De bildene vil jeg ha før den går i søppla. Den er sliten og skjermen meldte seg ut, jeg kobler til PC (itunes) og får tilkobling opp men den ber meg bekrefte på telefonen at jeg godkjenner. Skjermen er svart så det utgår. Passkode vet jeg selvfølgelig. Jeg syns det er kjedelig og gå til det punktet å kjøpe ny skjerm å bytte ene og alene for og få ut bildene, og lurer derfor på om dette er siste utvei for og få hentet ned bildene? Ironisk nok kobler jeg sjeldent eller aldri opp mot wifien hjemme da 4g er raskere, så iCloud hjelper meg lite her.

Prøvd å trykke på skjermen selv om den er svart? Touch layeret kan jo fungere. Hva med å bestille en kinakopiskjerm til 100kr for å få ut bildene?

[Elliphant]

 

Hallo folkens, interessante emner dere nevner er og spesielt innblikkene fra brukerne (ref; audun, tkongen).

 

Jeg har et scenario hvor min jobbtelefon som er passkode-beskyttet på siste iOS har blitt brukt til fotografering av en fullstendig husrenovering over ett år. De bildene vil jeg ha før den går i søppla. Den er sliten og skjermen meldte seg ut, jeg kobler til PC (itunes) og får tilkobling opp men den ber meg bekrefte på telefonen at jeg godkjenner. Skjermen er svart så det utgår. Passkode vet jeg selvfølgelig. Jeg syns det er kjedelig og gå til det punktet å kjøpe ny skjerm å bytte ene og alene for og få ut bildene, og lurer derfor på om dette er siste utvei for og få hentet ned bildene? Ironisk nok kobler jeg sjeldent eller aldri opp mot wifien hjemme da 4g er raskere, så iCloud hjelper meg lite her.

Prøvd å trykke på skjermen selv om den er svart? Touch layeret kan jo fungere. Hva med å bestille en kinakopiskjerm til 100kr for å få ut bildene?

Hei, takk for feedback. Jeg har prøvd å trykke et par ganger for å treffe pass-koden riktig samt knappen for å eventuelt godkjenne tilkoblingen. Men siden jeg har autodump av innhold ved x antall feil koder er jeg redd for å prøve flere ganger i frykt for og miste innhold. Må vel bestille opp skjerm og bytte da.. Det er så rart for skjermen er svart (ikke død), men som om det er et svart bilde man ser på.. vanskelig og beskrive, hehe. Har fulgt et par maler på nett for hvordan man kan fikse det om skjermen er ødelagt. Tatt den ut og satt den inn igjen uten endring.

[UrgeLoL]

Du har prøvd den vanlige holde inne home og powerknappen? Telefonen har sikkert også vært tom for strøm så det skulle jo tilsvare reset.