iTunes-backups weer veilig in iOS 10.2

5 reacties

Naast nieuwe emoji en verbeteringen aan de Muziek-app, heeft iOS 10.2 (op moment van schrijven als publieke beta beschikbaar) ook een veiligheidsaspect. Lokale iTunes-backups worden weer met sterke versleuteling opgeslagen.

Eerdere iOS 10-versies bevatten een bug waardoor de versleuteling aanzienlijk zwakker was en daardoor 40 keer sneller te kraken was dan iOS 9. Een slordig foutje van Apple bij het vernieuwen van de beveiliging.

Overstap algoritme

Het wachtwoord van versleutelde iTunes-backups werd al sinds iOS 4 opgeslagen met het pbkdf2(sha1) algoritme. In iOS 10 is Apple overgestapt naar een moderner sha265-algoritme om het wachtwoord te versleutelen, maar liet het aantal iteraties (hoe vaak het wachtwoord achter elkaar door de hashfunctie werd gehaald) op 1 staan, voorheen was dit 10.000 keer.

In september, enkele weken na de release van iOS 10 werd deze zwakheid ontdekt door beveiligingsonderzoekers en al snel ingezet in software die gebruikt kan worden om iTunes-backups te kraken.

Voordeel versleutelde back-up

Een versleutelde back-up maken in iTunes heeft een aantal voordelen. Allereerst worden alle wachtwoorden opgeslagen, zodat je na het herstellen niet opnieuw hoeft in te loggen op bijvoorbeeld e-mailaccounts. Ook HomeKit-data en gezondheidsgegevens worden opgeslagen. Door de aanwezigheid van die informatie is het belangrijk dat de back-up goed versleuteld is.

Apple heeft het probleem nu goed aangepakt en dankzij het nieuwe algoritme met de juiste hashfunctie duurt het ongeveer 1000 jaar om een iTunes-backup die met iOS 10.2 gemaakt is te kraken. iCloud-reservekopie was niet getroffen door de bug.

Reacties

5 reacties
  • Profielfoto
    Fietsbel

    Het duurt ook ongeveer 1000 jaar voordat ik een miljoen win in de loterij, ook al doe ik altijd mee. En toch wint iemand elke keer. Hoe moet je die beveiliging zien, vooral nu het om steeds meer belangrijke gegevens gaat?

  • Profielfoto
    Raymon

    Zie het als; iemand moet 1000 jaar een zeer krachtig computercluster aan hebben staan om ‘m te kraken. Bij versleuteling is het geen kwestie van kansberekening.

  • Profielfoto
    Fietsbel

    Dat ‘kraken’ is gewoon passwords proberen, de eerste kan al goed zijn, maar na 1000 jaar is er zeker één goed. Kansberekening heeft er alles mee te maken. In de toekomst gaan passwords dus niet meer voor veiligheid zorgen. Maar er komen allemaal mooie nieuwe technieken…

  • Profielfoto
    Fietsbel

    Net als je 4-cijferige pinpas, die binnen een seconde ‘gekraakt’ kan worden met de juiste apparatuur

  • Profielfoto
    Fietsbel

    Over vijf of tien jaar gebruik je geen passwords meer