Beveiligingsonderzoeker legt backdoors bloot in iOS 7

Ik vraag me af hoe objectief dit artikel geschreven is. Het lijkt nu een beetje op een "NSA BACKDOORS!! ENG!!"-telegraaf-artikel en een soort van "kijk eens hoe lek system xyz vandaag is" verhaal.

Het artikel naast de bron:

Beveiligingsonderzoeker Jonathan Zdziarski claimt een aantal backdoors in iOS 7 te hebben gevonden. De achterdeurtjes kunnen gebruikt worden om de versleuteling van het OS te omzeilen. Apple heeft nog niet op de bevindingen gereageerd.

Dit klinkt een beetje ongenuanceerd als je het naast de bron legt:

Accessed through lockdownd, requiring pairing authentication. (Explain Pairing)

Dus, eigenlijk moet je je identiteit nog steeds verifiëren. Wat wordt er dan precies omzeild? Is een wachtwoord invoeren dan ook omzeilen? Want technisch gezien is je wachtwoord niet de encryption key, dat is namelijk de hardware key. Je wachtwoord, en dus ook lockdownd authenticatie, worden allebei voor dezelfde toegang gebruikt.

Volgens Zdziarski is gebruikersdata toegankelijk via de zogenaamde file_relay-functie. Zo kan een aanvaller toegang tot vrijwel alle data op een iPhone of iPad, ook al zou deze versleuteld moeten zijn. Zo zijn bijvoorbeeld adresboeken uit te lezen, accountgegevens op te vragen en gps-logs te bekijken. Onduidelijk is nog of de file_relay-functie ook op afstand is te gebruiken om een apparaat uit te lezen of uitsluitend lokaal toegepast kan worden. Zdziarski beschrijft ook pcapd, een geïntegreerde packet sniffer voor het onderscheppen van netwerkgegevens. Pcap kan op afstand via wifi geactiveerd worden.

De services zijn inderdaad na het aanmelden gebruiken. En dat aanmelden kan inderdaad via usbmuxd of tcp, maar gaat altijd via lockdownd, zoals in de bron vermeld wordt, en dat geldt voor alle services, niet alleen voor pcapd. Het zijn niet een verzameling losse exploits of backdoors, maar het zijn services die na aanmelding gestart kunnen worden en daarna gebruikt kunnen worden waar ze voor gemaakt zijn. Er zit uiteraard een vreemd luchtje aan als je bijvoorbeeld pcapd op een apparaat hebt waarbij rvi officieel als capture device gebruikt moet worden. Maar dan nog het is geen 'op afstand activeerbare backdoor'. Op afstand kan je alleen aanmelden, en als je aangemeld bent kan je services starten en die services kan je dan weer extern benaderen als je ze zo ingesteld hebt.

Zoals het artikel nu staat is het niet echt tweakers waardig en ruikt het vooral naar telegraaf-kwaliteit.

Misschien is het een idee om de bron wat meer mee te nemen en wat minder te speculeren, en de technische feiten te gebruiken in plaats van ambigue 'niet-tweaker' termen te gebruiken die op zich zelf niet echt iets specifieks aanduiden.

Verder is het woord backdoor een beetje zwaar voor een ongedocumenteerde service die je extern alleen kan benaderen nadat je via een gedocumenteerde beveiligde interface de dienst aan zet en geconfigureerd hebt voor externe toegang.

Natuurlijk is er met alle NSA-gerelateerde onthullingen bijna 'vraag' naar meer NSA-achtige verhalen, maar het lijkt me een stuk prettiger als er gewoon een stuk meer bij de feiten gebleven wordt. Er zitten dan wel ongedocumenteerde services in die dingen doen die je niet verwacht of zou willen, maar ze doen dat niet vanzelf, ook niet op afstand en ook niet zonder autorisatie, die je dan wel kan stelen, maar als je die steelt, tsja, dan kan je net zo goed een PIN code of wachtwoord stelen, en dat maakt een normaal inlog systeem ook geen backdoor.

Wat het artikel goed zou doen is een kleine grafische representatie, dat soort dingen zouden wel vaker een goede verduidelijking kunnen zijn. Of tenminste een uitleg hoe toegang verkregen moet worden, welke credentials gestolen of afgekeken moeten worden, en waar je deze als gebruiker (al dan niet onwetend) achter laat.
Bijvoorbeeld:


maar dan wat correcter en wat uitgebreider.

[ Voor 10% gewijzigd door johnkeates op 21-07-2014 20:18 ]