Hakkeri ohitti iPhonen varkauksien varalta rakennetun suojan - Tietoturva - Ilta-Sanomat

Mitäs nyt Apple? IPhonen varkaussuoja ohitettu

Hakkerit näyttävät vievän Applea kuin pässiä narussa. IPhonen tietoturva koki tuplakolauksen saksalaisten käsittelyssä.

5.10.2013 13:29 | Päivitetty 5.10.2013 22:45

Saksalaisen SRL:n yhtiön biometrisen tietoturvan asiantuntijalla on jobin postia Applelle: IPhone-omistajien suojaksi tehty "Find my iPhone" -toiminto on ohitettavissa, Ben Schlabs kertoi uutistoimisto Reutersille. Hän todistaa asiaansa myös videossa.

Temppu näyttää olevan helpompi uuden iOS 7:n ja iPhone 5S:n myötä. Kyse on ohjelmallisista muutoksista ja myös laitteen sormenjälkilukijasta, joka korvaa perinteisen pin-koodin.Sormenjäljen tekeminen:Onkohan näin helppoa?

Schlabs kuvaili, mitä varas voi tehdä napattuaan iPhonen esimerkiksi kadulla. Heti ensimmäiseksi hän kytki päälle lentokonemoodin, mikä onnistuu avaamatta laitteen lukitusta. Uhrin voi puolestaan olettaa käyttävän Find my iPhone -toimintoa pyyhkiäkseen puhelimen etänä puhtaaksi kaikesta datasta.

Mutta puhelimen ollessa lentokonemoodissa, varas voi ennättää tehdä tekosormenjäljen esimerkiksi laitteesta itsestään löytyvistä sormenjäljistä. Menetelmä muistuttaa samaa, jota toinen saksalainen hakkeri esitteli vähän aikaa sitten. Mutta sen sijaan, että kuvat potentiaalisesti hyödyllisistä sormenjäljistä olisi otettu tarkalla kameralla, Schlabs käytti iPhone 4S:n vähemmän tarkkaa kameraa.

Tämä vaihe ei tosin välttämättä ole ollenkaan niin yksinkertainen, kuin Ben Schlabs antaa ymmärtää. Kuinka varas esimerkiksi voi olla varma, että löytynyt sormenjälki on peräisin juuri siitä sormesta, jolla puhelin on lukittu? Lisäksi valistunut käyttäjä ei näytä sormenjälkilukijalle etusormeaan, vaan jotakin toista sormea.

Omistaja ulosomista tileistään

Kirjauduttuaan puhelimeen väärällä sormenjäljellä, Schlabs etsi omistajan sähköpostiosoitteen ja pyysi tietokoneen kautta Applelta salasanan nollausta. Hän kytki puhelimen lentokonemoodin pois päältä muutamaksi sekunniksi saadakseen Applen sähköpostin. Find my iPhone ei kuitenkaan ennättänyt pyyhkiä puhelinta tai tehdä siitä toimimatonta.

Ben Schlabs varmisti asian todella olevan näin tekemällä tempun viisi kertaa peräkkäin samalla puhelimella. Apple ei ole kuitenkaan toistaiseksi vahvistanut ongelmaa tai edes kommentoinut sitä.

Schlabsin mukaan varkaan on näin mahdollista ottaa puhelin kokonaan haltuunsa yhdessä uhrin Apple-tilien kanssa. Lopulta Apple kyllä pyyhkii puhelimen datasta, mutta varas pystyy palauttamaan tiedot uhrin iCloud-varmuuskopiosta. Varkaalla voi myös olla mahdollisuus vallata muita tilejä, kuten Googlen Gmail.

NeuvojaApplelle

IPhonen omistaja voi suojautua esimerkiksi muuttamalla asetuksia niin, ettei lentokonemoodia voi kytkeä päälle avaamatta lukitusta. Ben Schlabs toivoo Applen tekevän tästä oletusasetuksen. Applen pitäisi myös edellyttää pin-koodin näpyttelyä, kun lentokonemoodi kytketään.

Ja kun puhelin ottaa uudestaan yhteyttä internetiin lentokonemoodin jälkeen, sähköpostin hakeminen ei saisi onnistua ennen kuin on tarkistettu, onko puhelinta pyydetty tyhjennettäväksi vai ei, Schlabs neuvoo Applea.

Osion tuoreimmat

Luitko jo nämä?