Wachtwoorden stelen van de iPhone blijkt een eitje

De kraakmethode is ontwikkeld door onderzoekers van de vakgroep Secure Information Technology van het Fraunhofer Institute. Zij ontdekten een kwetsbaarheid in de manier waarop op de iPhone-opgeslagen inloggegevens van e-mail, groupware, bedrijfsnetwerken, websites en vaak ook wachtwoorden en certificaten van applicaties van derden worden beheerd. Het wachtwoordbeheersysteem van de iPhone (dat keychain is gedoopt) versleutelt die informatie wel, maar de gehanteerde sleutel staat los van het wachtwoord dat de gebruiker gebruikt om zijn iPhone te ontgrendelen.

Vooral inloggegevens van netwerken kwetsbaar
Dat betekent dat alle informatie die nodig is om de sleutel van de keychain te kraken, op de iPhone aanwezig is, realiseerden de onderzoekers zich. En bij nader onderzoek bleek dat inderdaad aanknopingspunten te bieden om informatie uit de keychain te halen. Niet alle informatie bleek eenvoudig te achterhalen. Met name de wachtwoorden van een aantal maildiensten en die van websites bleken niet te achterhalen, als het toestel niet ontgrendeld was. IPhone-bezitters die er mobiel mee bankieren, hoeven zich dus niet meteen zorgen te maken. Maar bedrijfsnetwerken en wifi, en ook bijvoorbeeld Microsoft Exchange, bleken wel toegankelijk met de informatie die aan de keychain werd ontfutseld. Een uitgebreider overzicht van de wel en niet gekraakte informatie is te vinden in het rapport dat de onderzoekers van het Fraunhofer Insititute hebben gepubliceerd.

De kraak wordt voorkomen als tijdig een wiscommando naar de iPhone is gestuurd om alle informatie op het toestel te verwijderen. Een oneerlijke vinder kan zich daar echter tegen wapenen door het toestel uit te zetten en de sim-kaart te verwijderen. Bovendien: de kraak duurt maar 6 minuten, dus is het altijd lastig om vast te stellen of het wiscommando op tijd kwam.

Na verlies alle wachtwoorden wijzigen
Conclusie van de onderzoekers is dan ook dat de eigenaar na verlies van zijn iPhone prompt alle wachtwoorden moet veranderen. En niet alleen van sites en diensten waarover informatie op zijn iPhone was opgeslagen. Men moet erop bedacht zijn dat de gekraakte gegevens ook aanknopingspunten bieden voor het raden van toegangscodes van netwerken en sites die men niet vanaf de iPhone bezoekt, menen de onderzoekers. Dat advies geldt ook als men de verloren iPhone terugkrijgt, waarschuwen de onderzoekers.

Bedrijven die gebruik van de iPhone in combinatie met hun infrastructuur toestaan, moeten zich beraden of ze wel snel genoeg (kunnen) reageren op de melding van het verlies van een iPhone. Mogelijk moeten ze ook de groepswachtwoorden voor virtual private networks en wifi vaker veranderen.

De onderzoekers denken overigens niet dat het probleem uniek is voor de iPhone. Ze hebben nog niet onderzocht of met een vergelijkbaar mechanisme ook gevoelige persoonlijke informatie is te ontfutselen aan andere mobiele platforms.