‘iTunes backup-wachtwoorden gemakkelijker te kraken in iOS 10’
Rutger Otto

Apple heeft per ongeluk de beveiliging van lokale backups verzwakt in iOS 10 door een alternatief mechanisme voor wachtwoordverificatie te bieden.

iOS 10 beveiliging minder bij lokale backups

Dat zegt Elcomsoft, een Russisch beveiligingsbedrijf. “We hebben het nieuwe mechanisme bekeken en hebben ontdekt dat de nieuwe methode bepaalde beveiligingschecks overslaat”, schrijft Elcomsoft op zijn blog. “Daarmee kunnen we wachtwoorden ongeveer 2500 keer sneller invoeren dan het oude mechanisme van iOS 9 en ouder.” Het bedrijf stelt dat deze aanval alleen werkt op lokale backups die door iOS 10-apparaten worden gemaakt. “Interessant is dat de nieuwe wachtwoordverificatie parallel bestaat met de oude methode, die net zo langzaam blijft als voorheen.”

Met de nieuwe methode zouden kwaadwillenden wel 6 miljoen wachtwoorden per seconden kunnen raden. Dat is enorm, want in iOS 9 was dat ‘slechts’ 2400 per seconde. Volgens Elcomsoft heeft het bedrijf 80 tot 90 procent kans om het wachtwoord met succes te achterhalen en dat iedereen – niet alleen de politie – de benodigde tools kan kopen en gebruiken.

iOS 10 problemen

Het probleem

Forbes schrijft op basis van beveiligingsexpert Per Thorsheim dat Apple in iOS 10 een zwakker hashing algoritme gebruikt voor lokale backups van iPhone-bestanden op de computer. Zulke algoritmes zorgen ervoor dat een wachtwoord omgevormd wordt tot een hash, een reeks nummers en cijfers. Die verhullen het ware wachtwoord. Mensen die passwords willen kraken, proberen de hash te achterhalen en hem overeen te laten komen met het wachtwoord. Kortom: hoe complexer het algoritme en hoe lastiger het wachtwoord, des te moeilijker het is om hem te achterhalen.

In eerdere versies van iOS gebruikte Apple een PBKDF2-algoritme waar het wachtwoord van gebruikers 10.000 keer doorheen moest. Als een hacker een wachtwoord wilde raden, moest die dus ook steeds 10.000 keer per keer worden gecheckt. In de alternatieve iOS 10-versie gebruikt Apple een algoritme genaamd SHA256 die hem maar één keer checkt. Dat maakt het voor een hacker dus mogelijk om een enorm aantal verschillende mogelijkheden te proberen in veel minder tijd.

Reactie van Apple

Apple heeft inmiddels aangegeven op de hoogte te zijn. “We weten af van een probleem dat de kracht van encryptie aantast voor backups op apparaten met iOS 10 als ze een backup maken naar iTunes op de Mac of PC. We lossen het probleem op in een komende beveiligingsupdate. Het heeft geen impact op iCloud-backups, maar we raden gebruikers aan om hun Mac of PC beveiligd te houden met sterke wachtwoorden.”

Hoewel Elcomsoft deze fout aan het licht brengt, is een controversieel bedrijf omdat het gereedschap levert aan mensen die in iOS-apparaten willen inbreken. De bekende hack uit 2014, waarbij naaktfoto’s van beroemdheden op straat belandden, zou gedaan zijn met de tools van Elcomsoft.

Lees het laatste nieuws over iOS 10

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.