Sikkerhedsekspert chokeret over svagheder i iOS og Android
En sikkerhedsekspert hos John Hopkins University har udført en gennemgang af robustheden i krypteringssystemerne i smartphones. Han er chokeret over de svagheder, der blev fundet i både iOS og Android.
Sikkerhedsekspert chokeret over sikkerhedsniveau i iOS og Android
Sikkerhedsekspert ved Johns Hopkins University, Matthew Green, siger direkte, at han er chokeret over det lave sikkerhedsniveau. “Jeg kom ind i dette projekt med en forventning om, at telefonerne virkelig beskyttede brugernes data. Nu kan jeg se, at praktisk talt intet er beskyttet så godt som det burde”.
Han undrer sig samtidig over, at myndigheder efterspørger en bagdør, der kan give dem adgang til telefonerne, når de har så ringe beskyttelse. Forskerne bag undersøgelsen fortæller, at iPhones i bund og grund har tre niveauer af beskyttelse:
– Before First Unlock (BFU) eller lige efter en genstart
– After First Unlock (AFU), når telefonen har været låst men ikke er startet om
– Complete Protection som udviklerne kan bruge, hvis de vil.
Se også: Find priser på de bedste smartphones
Usikker efter første oplåsning
Når en iPhone bliver genstartet og endnu ikke er låst op, er den i den tilstand, Apple kalder Protected Until First User Authetification og som sikkerhedseksperterne kalder Before First unlock. I den tilstand er det højeste niveau af kryptering, der gælder, den der kaldes Complete Protection. Det er mere eller mindre umuligt at få fat i data fra en iPhone i den tilstand, hvis du ikke kan låse den op.
Problemerne begynder efter den første oplåsning, siger forskerne. I Complete Protection tilstand er nøglerne til at dekryptere gemt langt inde i systemet og er selv krypteret. Når man låser telefonen op første gang efter reboot, så gemmes mange af krypteringsnøglerne i RAM-hukommelsen, hvor man hurtig kan få adgang til den. Det er her, hackere kan lede efter åbninger og sårbarheder i systemet.
Det er den metode, de fleste myndigheder forsøger sig med, når de prøver at få adgang til telefoner.
Se også: Guides til iOS og Android
Forskellige niveauer af sikkerhed
Apple har imidlertid en mulighed, som Android ikke har. Apple giver udviklerne mulighed for at gemme noget data i Complete Protection-tilstand hele tiden. Det kunne være bankinformationer. Den mulighed tilbyder Android ikke.
Det er ikke svært at forstå, hvorfor Apple tilbyder flere niveauer af sikkerhed. Det handler om ydeevne. Hvis telefonen skal opretholde Complete Protection hele tiden og kun hente dekrypteringsnøgler, når det er nødvendigt og slette dem fra quick access-hukommelsen efter brug, vil det gøre telefonen væsentligt langsommere.
Skal almindelige mobilbrugere være bekymrede?
Det er vigtigt at forstå, at den type af værktøjer, der skal bruges for at udnytte denne let svækkede sikkerhedstilstand, kræver fysisk adgang til telefonen og kendskab til andre zero-day iOS-svagheder for at kunne få fat i data.
I praksis er der ikke den store risiko for den slags angreb, hvis man ikke kriminel eller et vigtigt mål for en efterretningsmyndighed eller lignende.
Se også: Nyheder om sikkerhed
Efterfølgende om temaet
Redaktionen har fulgt udviklingen og her er fortsættelsen på historien. Steen Jørgensen gik videre med sagen. 18/1/2021 blev fortællingen ført videre med et indlæg med tematikken Håndtér stress, blodtryk og angstanfald med Apple Watch – Den videre historie om temaet finder du her. Se også seneste nyt om emnet her.