De uitdaging is de iPhone steeds sneller te kraken (UPDATE)
Apple en Google weigeren tot nog toe een “achterdeur” in hun software voor mobiele telefoons in te bouwen zodat die gemakkelijk toegankelijk worden voor wetshandhavers in de Verenigde Staten. Inmiddels beschikt de politie, ook in Nederland, al over software om de toegangscodes van smart phones te hacken. Inmiddels zijn er op de markt al vele mogelijkheden om kwetsbaarheden van mobiele telefoons uit te buiten.
Wetsvoorstel
In een reactie op een verhaal in de New York Times hierover heeft Apple aan die krant laten weten voortdurend bezig te zullen blijven de iPhone-beveiliging te versterken ‘om klanten te helpen zich te verdedigen tegen criminelen, hackers en identiteitsdieven.’ En dus ook om de politie voor te proberen te blijven.
In het Amerikaanse Congres ligt een wetsvoorstel van drie Republikeinse senatoren om Apple en Google te dwingen een ‘back door‘ te creëren. Maar, dat wetsvoorstel ligt in de wachtkamer, het wachten is op een actuele aanleiding die de benodigde politieke druk kan verschaffen om een meerderheid ervoor te smeden. Apple en Google lobbyen keihard tegen dergelijke inbreuken op de privacy van hun systemen.
De vooraanstaande New Yorkse officier van justitie Cyrus R. Vance Jr. zei tegen een senaatscommissie vorig jaar: ‘We ontgrendelen het misschien binnen een week, we ontgrendelen het misschien niet gedurende twee jaar, of we ontgrendelen het misschien nooit.’
Heel snel
De vraag is of dat helemaal waar is. Voor de internationale opsporings- en inlichtingendiensten is het toegang krijgen tot een smart phone inmiddels niet meer het probleem. Het probleem is nu dat men soms heel snel in de apparaten wil komen in het belang van een onderzoek. En dat kan afhankelijk van de kracht van de tool die wordt ingezet erg variëren.
iPhones met een viercijferige code kraken was in Nederland geen probleem meer, zo vertelde een bron aan Crimesite in 2014. Volgens de New York Times duurt echter het raden van een 6-cijferige iPhone-toegangscode nu gemiddeld ongeveer 11 uur. Maar een een 10-cijferige code zou met dezelfde rekenkracht 12,5 jaar duren.
Programma’s voor het hacken van telefoons maken doorgaans gebruik van beveiligingslekken om eerst de limiet voor toegangscode-pogingen van een telefoon op te heffen om vervolgens met brute force toegangscodes in te voeren totdat de telefoon wordt ontgrendeld. (tekst gaat verder na reclame)
Cellebrite
Twee bedrijven domineren de markt voor dit soort werk. Grayshift, uit Atlanta (Georgia) dat mede is opgericht door een voormalige Apple-ingenieur, en Cellebrite, een Israëlische vertakking van de Japanse Sun Corporation.
De Nederlandse politie werkt in ieder geval met toepassingen van Cellebrite voor het uitlezen van gegevensdragers. In de VS factureren de genoemde twee bedrijven aan politiediensten voor de beste tools ongeveer 9.000 tot 18.000 dollar, waar nog bij komen 3.500 tot 15.000 dollar aan jaarlijkse licentiekosten. Cellebrite neemt ook telefoons aan om die in opdracht te kraken.
De CEO van Grayshift zegt in de NYT dat het mogelijk is om in één dag toegang te krijgen tot sommige iPhones.
Vice publiceerde in 2018 over een Israëlische firma die een iPhone zonder problemen binnen enkele minuten zou kunnen uitlezen. Deze NSO Group heeft volgens Amnesty International software geleverd waarmee apps op de iPhone van een Marokkaanse journalist werden afgeluisterd. Dat werd gedaan via “netwerkinjectie-aanvallen”. Daarbij onderscheppen aanvallers http-verkeer van een slachtoffer en sturen dat onzichtbaar voor hem door naar een malafide pagina. Het bedrijf Zerodium verkocht zogenoemde “exploit” voor kwetsbaarheden van iPhone-software.
Zie ook, uit 2017:
Politie en dieven: moeilijker toegang tot iPhone