Reklame

Kryptering er en velsignelse for enhver, der bruger en digital enhed. Det Internettet ville være et farligt sted uden kryptering 5 almindelige krypteringstyper, og hvorfor du ikke skulle lave din egenEr det en god ide at rulle din egen krypteringsalgoritme? Har du nogensinde spekuleret på, hvilke typer kryptering der er de mest almindelige? Lad os finde ud af det. Læs mere , som Wi-Fi-adgangspunkter og adgangskodebeskyttede enheder som iPhones ville gøre.

Imidlertid er iPhone ikke længere bastionen af ​​sikkerhed, den engang var. Amerikanske retshåndhævende myndigheder bruger et billigt værktøj til at omgå iPhone-kryptering, hvilket drastisk reducerer privatlivets fred og samtidig skader sikkerheden.

Her er et dybere kig på det nye GrayKey-værktøj, hvad det gør, hvorfor det er farligt, og hvorfor Apple er bekymret for det.

Apple vs. FBI

Før vi undersøger GrayKey, en lille baggrundskontekst for iPhone-kryptering og forsøg på at knække den.

Kan du huske San Bernardino iPhone? Efter et terrorangreb i San Bernardino tog FBI Apple for retten. FBI ønskede, at Apple skulle oprette en krypteringsbagdør, der ville lade dem skørt iPhone-sikkerheden for en af ​​de afdøde terrorister. Naturligvis nægtede Apple,

instagram viewer
korrekt hævder, at når bagdøren blev oprettet, ville den aldrig blive lukket Hvorfor vi aldrig bør lade regeringen bryde krypteringAt leve med terrorisme betyder, at vi står over for regelmæssige opfordringer til en virkelig latterlig opfattelse: skab regerings tilgængelig kryptering bagdøre. Men det er ikke praktisk. Her er grunden til, at kryptering er afgørende for det daglige liv. Læs mere .

Det israelsk-baserede sikkerhedsfirma, Cellebrite, fandt til sidst en vej gennem Apple-sikkerhedsmekanismerne ved hjælp af en tidligere ukendt sårbarhed. Og der var intet af bemærkninger på telefonen. Bemærk også, at Cellebrite-tjenesten på det tidspunkt kostede $ 5.000 pr. Enhed, og telefonen skulle sendes til deres sikre anlæg.

Flash frem til 2017. Et firma kendt som Grayshift vises på markedet og sælger deres nye produkt: GrayKey. Formålet med GrayKey var uklart indtil Thomas Fox-Brewster afslørede enheden i en Forbes-eksklusiv, inklusive flere billeder samt en oversigt over nøjagtigt, hvad GrayKey iPhone-oplåser gør.

GrayKey iPhone Unlocker

Her er hvad der er kendt om GrayKey iPhone unlocker indtil videre.

GrayKey-enheden i sig selv er en lille, grå kasse, der måler fire tommer dyb og to tommer høj. Kassen leveres med to lynkabler, der stikker fronten ud til tilslutning af to iPhones ad gangen.

GrayKey hacks Apple iPhones til retshåndhævelses- og sikkerhedsbureauer

En iPhone opretter forbindelse til GrayKey-enheden i cirka to minutter, hvorefter de kobles fra, men endnu ikke er revnet. Den faktiske cracking-procestid varierer afhængigt af adgangskodestyrken.

Det tager cirka to timer at knække en let adgangskode via brute-force, mens vanskeligere adgangskoder (seks cifre) kan tage tre dage eller længere. GrayKey-dokumentationen, også set af Malwarebytes, nævner ikke revnedider for længere kombinationer.

Når revnen finder enhedens adgangskode, viser telefonen en sort skærm, der viser koden med andre enhedsoplysninger. (Tip til oprettelse af en stærk og mindeværdig adgangskode. Sådan opretter du en stærk adgangskode, som du ikke vil glemmeVed du hvordan man opretter og husker en god adgangskode? Her er nogle tip og tricks til at opretholde stærke, separate adgangskoder til alle dine online konti. Læs mere )

GrayKey downloader hele iPhone

Unlocker viser enhedens adgangskode, men den henter også hele iPhone-filsystemet til GrayKey-enheden. GrayKey opretter derefter forbindelse til en webbaseret interface, hvor den er tilgængelig til analyse.

Billedet herunder viser resultaterne af en revnet iPhone X. Bemærk "fundet adgangskode", den meget nyeste "softwareversion", og "iTunes-sikkerhedskopiering" og "komplet filsystem", der kan downloades (inklusive deres SHA256-hash).

GrayKey koster en masse penge

GrayKey iPhone unlocker har to forskellige versioner.

Den første model koster $ 15.000 og kræver internetforbindelse for at arbejde. Derved geografisk defineres enheden til sit oprindelige installationsnetværk for at sikre, at GrayKey ikke let overføres. Andre rapporter hævder, at den vedvarende internetforbindelsesmodel også kun tillader 300 låsninger, som arbejder med $ 50 pr. IPhone.

Den anden model koster $ 30.000 og fungerer offline uden nogen åbenbar grænse for antallet af anvendelser af GrayKey-enheden. Enheden fungerer antagelig, indtil Apple endelig finder ud af sårbarheden og lapper den.

Hvilke retshåndhævelsesagenturer har et GrayKey?

Selvom dette utvivlsomt er enorme summer, vil budgetter for det retshåndhævende agentur let (eller mirakuløst, afhængigt af agenturet) stræk efter et værktøj, der skaber en helt ny avenue af Information. Især en, der tidligere ikke kunne opnås for mange agenturer, i det mindste i en så tilsyneladende let kapacitet.

En igangværende Bundkort undersøgelse fandt flere forskellige agenturstyper allerede havde købt en GrayKey:

  • Lokalt politi: Politiet i Miami-Dade County oplyste, at de muligvis har købt en GrayKey-enhed.
  • Regionalt politi: Det Maryland State Police og Indiana State Police har udstedt indkøbsformularer til GrayKey-enheder.
  • Bypoliti: Dokumenter viser også, at Indianapolis Metropolitan Police Department modtog et tilbud fra Grayshift vedrørende GrayKey-enheder.
  • Efterretningstjenesten:E-mails vises agentur planlægger at købe seks GrayKey-enheder.
  • Statsafdeling: Department of State's Bureau for Diplomatic Security købte en vare på $ 15.000 fra Grayshift i marts 2018, ifølge poster for offentlige indkøb.
  • DEA: Agenturet til håndhævelse af narkotika udstedte et Sources Sought-dokument til en offline GrayKey-enhed.
  • FBI: Online-offentlige indkøbsposter viser, at FBI ønsker at købe seks GrayKey-enheder.

Hvis Grayshifts GrayKey fortsat leverer myndighederne med tidligere uopnåelige iPhone-data, vil du sandsynligvis også se flere agenturets indkøbsformer.

IRS er nu en GrayShift-kunde - $ 15.000 køb af iPhone hacker's kit https://t.co/lWDLQscSHY

- Thomas Fox-Brewster (@iblametom) 23. juni 2018

Hvad gør Apple for at stoppe GrayKey?

Som du måske forestiller dig, er Apple ikke bedst tilfreds med, at iPhone's sikkerhed er så offentligt overtrådt. Og ikke kun gamle iPhone'er - vi taler om top enhederne, der kører nogle af de nyeste versioner af iOS. Apple vil ikke sidde og vente på, at Grayshift holder sårbarheden åben.

I stedet for i den aktuelle iOS 12 offentlige beta er der en ny funktion, der drastisk begrænser adgangen til Lightning-porten på en låst iPhone. (Flere funktioner, der kommer til din iPhone med iOS 12! Hvad er nyt i iOS 12? 9 Ændringer og funktioner, der skal tjekkes udiOS 12 er ankommet. Lær om de spændende nye funktioner, der nu er tilgængelige på en iPhone eller iPad i nærheden. Læs mere )

”Vi styrker konstant sikkerhedsbeskyttelsen i ethvert Apple-produkt for at hjælpe kunderne med at forsvare mod hackere, identitetstyver og indtrængen i deres personlige data, ”fortalte en talsmand fra Apple Reuters. "Vi har den største respekt for retshåndhævelse, og vi designer ikke vores sikkerhedsforbedringer for at frustrere deres indsats for at udføre deres job."

iOS 12 vil gøre Lightning-port brute-force angreb ubrugelig ved at deaktivere adgang via denne rute efter kun en time. Den nye USB-begrænset tilstand stopper al datakommunikation fra en nytilsluttet enhed efter den 60-minutters periode, hvilket effektivt gør GrayKey ubrugelig. De aktuelle indstillinger for USB-begrænset tilstand har en tidsbegrænsning på en uge, hvilket giver myndighederne en længere periode til forhåbentlig at brute-force adgangskoden.

Hvordan kan du beskytte dig mod GrayKey?

I betragtning af den indgående opdatering til iOS 12 og introduktionen af ​​restriktioner til USB-begrænset tilstand, er der kun en ting, du kan gøre lige nu: opdater dine adgangskoder. Du skal altid bruge mindst otte cifre for at holde din telefon sikker. Alternativt skal du skifte til en længere adgangsfrase for virkelig at bulk ud af din iPhone-sikkerhed.

iOS understøtter brugerdefinerede numeriske og brugerdefinerede alfanumeriske koder af enhver længde. En adgangssætning bruger flere ord til at oprette meget stærkere lås Hvorfor adgangssætninger er stadig bedre end adgangskoder og fingeraftrykKan du huske, når adgangskoder ikke behøvede at være kompliceret? Når det var let at huske PIN-koder? Disse dage er væk, og cyberkriminalitetsrisici betyder, at fingeraftryksscannere er næsten ubrugelige. Det er tid til at begynde at bruge adgangskoder ... Læs mere end din almindelige pinkode eller adgangskode. Tjek det yderst relevante XKCD tegneserie for mere information:

Hvad laver Apple om GrayKey-kryptering-hacking?

Det igangværende grå område af GrayKey

Lige nu har de retshåndhævende myndigheder kortene. I en forstand, i det mindste. En iPhone med dårlig sikkerhed er sårbar. Imidlertid varer denne situation muligvis ikke længe, ​​medmindre Grayshift fortsat finder sårbarheder og løsninger på Apples iPhone-sikkerhedsrettelser. Derudover er GrayKey ikke hidtil uset.

IP-boksen var en lignende enhed, der kunne få adgang til oplysningerne om låste iPhones, der kører ældre iOS-versioner. Dens funktionalitet ophørte med iOS 8.2-opdateringen, men gav anledning til IP-Box 2. IP-boksen 2 er stadig bredt tilgængelig, men kræver viden om, hvordan man fjerner integrerede kredsløbschips til placering i enheden.

Der er også andre implikationer. Er iPhone permanent sårbar, når adgangskodebrydningen er afsluttet? Kan iPhone-ejeren bruge deres telefon som normalt igen, eller skal den udskiftes?

Og hvordan skal myndighederne beslutte, hvornår de skal bruge deres GrayKey-enhed? Jeg mener, er der en defineret protokol, der regulerer cracking af enhedskodeord ved hjælp af et tredjepartsværktøj? Har de brug for en erklæring, rimelig mistanke osv.?

De igangværende implikationer og debatten omkring cracking af iPhone-adgangskode ved hjælp af en GrayKey-enhed vil fortsætte. Jeg er sikker på, at flertallet af læsere forventer, at retshåndhævelse vil gøre så meget som de kan for at beskytte ofrene. Hvis cracking af adgangskode bliver et grundlæggende element i borgerlig sikkerhed, har du tillid til myndighederne til at udøve denne magt på det rigtige tidspunkt?

Og ville du bare øg mængden af ​​kryptering på din enhed 7 grunde til, at du skal kryptere dine smartphone-dataKrypterer du din enhed? Alle større smartphone-operativsystemer tilbyder enhedskryptering, men skal du bruge den? Her er grunden til, at smartphonekryptering er umagen værd og påvirker ikke den måde, du bruger din smartphone. Læs mere at modvirke deres indsats?

Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOf's kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskrivning med digital kunstpraksis, der er pilleret fra bjergene i Devon, samt over et årti med professionel skriftlig erfaring. Han nyder rigelige mængder te.