https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/

Dit komt voor mij op een moment dat ik zelf met een paar essentiele vragen zit, waar Apple geen antwoord op heeft. Ik ben dus even heel tevreden dat ik iOS 11 nog niet binnengehaald heb.

(Bewerkt door Flix om 9:09, 4-12-2017)

Doet me dan weer denken aan de titels die ik vroeger met zo veel plezier las, in de Pep (Edit: het was in de 'Sjors', niet in de PEP) en later de Eppo:
Opkomst en ondergang van het keizerrijk Trigië

(Bewerkt door Flix om 9:03, 4-12-2017)

Daarbij kan je je afvragen wat de waarde is van een artikel dat in de eigen titel niet eens "iOS" correct kan spellen.  

Citaat uit het artikel:
What if the iPhone in question runs an earlier version of iOS that does not allow removing backup passwords? I say you’re lucky because you can simply update that device to iOS 11 and then reset that password. We tried this strategy multiple times, and not once did we have an issue.
What if the device simply cannot run iOS 11, like that iPhone 5c from San-Bernardino? If this is the case, your best bet is attempting to jailbreak that iPhone. 32-bit devices (iPhone 4s, 5, and 5c) allow for complete physical acquisition (including the keychain). Just note that we are talking about the situation when the passcode is known.

De mensen van Elcomsoft weten waar het over gaat. Ze produceren paswoord krakers. En ja, 't zit natuurlijk vol met reclame voor hun producten.

Go ahead. Shoot the messenger.

Mijn iphone wordt voorlopig niet naar iOS 11 gebracht. Maar ik heb een andere, interessante iphone die niet doet wat ik er van verwacht. Meer vragen dan antwoorden. Nadat die een reset ondergaan heeft in itunes, zijn de apps van de vorige eigenaar nog beschikbaar. Alle "kenners" weten me dan te melden dat dat normaal is...

Voor mij, als newbie in iOS, is dat niet normaal. Vooral niet omdat de data van de apps ook bewaard blijft. En de apps detecteren dat soms. Whatsapp, bv. dat nogal eens bejubeld wordt vanwege de veiligheid, vraagt doodleuk of ik het oude nummer wil behouden. Als ik op die vraag "ja" antwoord, krijg ik alle berichten van de vorige gebruiker binnen, zonder enig paswoord, of wat voor beveiliging dan ook.

Is dat normaal?

Het enige dat absoluut veilig LEEK, was de bank applicatie. Die werkt met OTP (zo'n rekenmachine) en daar kan je dus na de reset niks mee.

O, ja en als iOs 11 niet veilig is, moet je snel android foontjes kopen

(Bewerkt door Steve Hofkens om 16:40, 4-12-2017)

(Bewerkt door Steve Hofkens om 16:49, 4-12-2017)

Beide ontbreken tot nu toe, en het stuk waar je naar verwijst overtuigt mij ook niet echt. Zo gaan ze bij meerdere scenario's er van uit dat ze de code van de gebruiker al hebben. Dat is volgens mij net zoiets claims van jaren geleden dat OS X niet veilig zou zijn, want op afstand te kraken. Daarna bleek dat ze het  beheerders-wachtwoord al hadden, dus redelijke flauwekul.

Dat soort dingen kom ik hier ook tegen, daarom op het eerste gezicht niet alarmerend wat mij betreft. Maar als jij mij on-topic kan overtuigen dat er hier echt wat aan de hand is, dan hoor ik het graag.

cyrano om 16:02, 4-12-2017
Alle "kenners" weten me dan te melden dat dat normaal is...
Is dat normaal?

cyrano om 16:02, 4-12-2017Maar ik heb een andere, interessante iphone die niet doet wat ik er van verwacht. Meer vragen dan antwoorden. Nadat die een reset ondergaan heeft in itunes, zijn de apps van de vorige eigenaar nog beschikbaar. Alle "kenners" weten me dan te melden dat dat normaal is...

Of iemand heeft 0 beveiliging op z'n iPhone, en dan kun je er alles mee, dus ook zijn gegevens zien, maar dan is hij ook goed te wissen.

Of iemand heeft zijn iPhone goed beveiligd, met Find my iPhone, en dan kun je niks zien, maar is hij ook niet zomaar te wissen.

Typ eens 10 keer het verkeerde wachtwoord in, en zoek dan op internet hoe je zo'n telefoon via iTunes helemaal kunt wissen.

Ik veronderstel dat als je een andere gebruiker op een iphone zet, dit de vorige overschrijft?

Mogelijk doe ik iets verkeerd. Maar wat doe je verkeerd als je op "OK" klikt?

De eigenaar heeft geen Mac, geen icloud account etc. Alleen een iphone. Voor hem destijds geactiveerd door een phone shop. Hij gebruikt nu inderdaad een Android toestel.

Wat betreft Elcomsoft: neem dat maar serieus. De pincode cracker, of whatever ze verkopen, werkt en is niet onbetaalbaar. Dat de stijl van dat blog misschien euh... sommigen herinnert aan hun jeugd, is een andere zaak. Natuurlijk zoeken ze publiciteit. Het is een bedrijf. Maar niemand heeft ze ooit op flagrante leugens betrapt. Ze bestaan ook al sinds mensenheugnis.

Flix om 18:56, 4-12-2017

Citaat

cyrano om 16:02, 4-12-2017
Alle "kenners" weten me dan te melden dat dat normaal is...
Is dat normaal?

Welke "kenners"? Want nee, dat is niet normaal. Nogmaals: is niet normaal!
Maar dat had jij ook wel kunnen bedenken, toch?

Goh. Eindelijk iemand die op die vraag antwoordt. Bedankt.

En, nee, ik weet dat niet. Ik heb zelf nog geen jaar een iphone. Ik heb me daar ook nooit in verdiept.
De backup kwam van een iphone 4. Naar een iphone 6. Misschien heeft dat er mee te maken?

Het eerste is dat cyrano plotseling zielig doet, terwijl hij zelf regelmatig anderen nogal de maat neemt.

Het tweede is dat Elcomsoft hier belang heeft om het allemaal dramatischer af te schilderen dan nodig. En ze halen er ook dingen bij die er helemaal niets mee te maken hebben, zoals de foto's van bekende mensen die op straat kwamen te liggen. Dat waren geen hacks, dat was het verkrijgen van wachtwoorden door phishing.

Ik heb al jaren een code die langer is dan zes cijfers, dankzij Touch ID (en straks Face ID) hoef ik maar zelden te gebruiken. Dus ik maak me geen seconde zorgen over wat ik daar lees, alleen maar goed leesvoer voor mensen die hun veiligheid niet zo serieus nemen, maar het dan waarschijnlijk ook niet zo belangrijk vinden.

Edit: @ cyrano: jouw verhaal over die iPhone lijkt mij een fout van de vorige eigenaar, zoals iemand anders ook al eerder in dit draadje schreef. En geen probleem dat met iOS 11 te maken heeft, en dus of-topic in je eigen draadje.

(Bewerkt door GeorgeM om 23:12, 4-12-2017)

Als je je (zoals jij en ik) bezighoudt met security, dan lees je inderdaad tussen de reclame-leuzen en suggestief taalgebruik heen om te kijken wat er nu echt aan de hand is.
Als je je - zoals de meeste forumleden hier - nooit echt in security verdiept hebt en gewoon vertrouwt dat Apple security op orde heeft, dan lijkt dit een hoop gezwam in de ruimte en zie je niets dan onrealistische scenarios en verkooppraat, waardoor je niet goed kunt inschatten wat de ernst van een gevonden kwetsbaarheid is.

De gewone gebruiker wil geloven dat Apple security op orde heeft en elke kritiek lijkt vergezocht.
De essentie uit het artikel is dat je het backup-wachtwoord kunt resetten, waarna je alsnog alle data uit de telefoon kunt halen met een nieuw zelfgekozen wachtwoord.
Apple blundert hier dus behoorlijk.
Gecombineerd met de recente security-blunders in High Sierra was ik zelf ook al tot de conclusie gekomen dat Apple security niet meer zo serieus neemt als vroeger.
Vertrouwen komt te voet, maar vertrekt te paard. Dat paard lijkt deze weken ook nog op hol te slaan....

Het is echt niet nodig om dan maar te stuggeren dat je moet overstappen op een Android, dat is echt niet beter. Maar ik vind het wel zorgelijk dat zoveel mensen hier niet (h)erkennen dat Apple steken laat vallen op het gebied van security.

@cyrano: Ga vooral door met hier posten!
De links die je post zijn - voor iemand die ingewijd is in security - van hoge kwaliteit en lees ik altijd met veel interesse.

@de-rest: Neem eens een iets opener houding aan en voel je niet meteen aangevallen als iemand iets zegt over Apple dat je niet wil horen. Het ontkennen van probleem is doorgaans geen oplossing....

(Bewerkt door jaco123 om 23:43, 4-12-2017)

JPZ om 9:23, 4-12-2017
Als ik het goed lees, is de passcode wel verplicht voor je dat allemaal kan doen.
Dus wel een beetje hypotetisch verhaal,toch?

Is het je wel eens opgevallen hoe makkelijk je een passcode af kunt kijken? Grote knoppen die mooi oplichten als je er op klikt.
En met high-speed camera's in elke telefoon helpt heel snel intypen ook niet meer.

Ok, voor een gevonden iPhone is het geen probleem, maar iemand die een beetje zijn best doet heeft de passcode zo. Je jat een telefoon natuurlijk pas in een drukke trein/bus/metro nadat je eerst de passcode afgekeken hebt.
Of je dat nou doet omdat je de data van die ene persoon wil hebben, of simpelweg omdat hij beter verkoopbaar is als je met de passcode de telefoon fatsoenlijk kunt wissen maakt daarbij niet uit.....

Wat forumlid Cyrano betreft: hij heeft het vaak bij het rechte eind, ook al mag hij dan overkomen als een "nutty professor". Wat meer bronlinks in zijn posts zouden echter welkom- én leerzaam zijn.

Bovendien vind ik MF een érg geschikte plaats om gegronde en constructieve kritiek op Apple openbaar te maken...

Dit is zeker geen trolling, en behoort volledig binnen de scope van dit mooie forum.

Maar voor zo'n beetje elke forum gebruiker gaat dit veel te ver, en dan: wat moet men ermee?. Bijna niemand hier kan beoordelen of de informatie uit zo'n artikel correct is, dus er wat zinnigs over zeggen al helemaal niet. Moeten we nu allemaal onze iOS apparaten downgraden naar iOS 7 of zo? Of en masse inwisselen voor een Android toestel? Of het ding de hele tijd enkele aan de binnenkant van een te kopen lange jas gebruiken?
Wat vind je dan van zo'n titel als "iOS 11 is niet veilig meer"? Dat dekt vooralsnog zeker de inhoud niet.

Ook is het onzin de reacties af te doen als fanboy-isme (of andere termen die de anti-apple crowd voor MF's heeft), dan wel het ogen willen sluiten voor de tekortkomingen van wat er bij Apple vandaan komt. Ten eerste is een reactie op een stelling meestal kritisch, of je nu A of Z poneert; Maar het is vooral de toon en het aplomb (te beginnen bij de titel), die reacties oproept.

Jaco, close, but no cigar.

(Bewerkt door Flix om 0:28, 5-12-2017)

Wat je hier mee moet? Tja, dat mag iedereen zelf weten:
1) Compleet negeren
2) Voor waar aannemen
3) Als onzin afdoen
4) Proberen te begrijpen waar het overgaat

Maar voor degenen die hier voor optie 4) willen kiezen is het prettiger als de mensen die eigenlijk optie 1) willen doen dat dan ook gewoon doen ipv niet-relevante opmerkingen maken.

Ik heb echt geen idee wat het niveau is van de "gemiddelde forumgebruiker", volgens mij zitten er best een hoop bij, die het eigenlijk wel interessant vinden en er meer van zouden willen weten. En ook een hoop die gewoon braaf automatisch alle updates installeren en het dan verder wel geloven. Ook prima.

Maar een beetje bewustzijn dat ook Apple niet meer synoniem is met 100% veilig kan geen kwaad lijkt me.

(Mijn eigen iPhone zit doorgaans in mijn jaszak en komt er misschien 5 keer per week uit, het komt regelmatig voordat ik na 2 dagen pas zie dat ik iets gemist heb. Ik kijk liever uit het raam als ik in de trein zit, maar dat is geloof ik niet helemaal representatief gebruik van een iPhone   )

In dit geval gaat het om nuttige achtergrondinformatie voor wie het aanbelangt, en als dusdanig uitstekend op zijn plaats op MF.
Mocht dat niet het geval zijn zag je mij hier niet meer...

Maar het is vooral de toon en het aplomb (te beginnen bij de titel), die reacties oproept.

En dan mag er niet aan bepaalde stellingen getwijfeld worden, HEXDIY?
Ook dat is een forum.

En deze is ook wel leuk: " forumleden van boven de Moerdijk die redelijk kort van lont zijn" en "Live and let live, man!" Spreek jij jezelf niet een klein beetje tegen in één zin?