Annons

Kryptering är en välsignelse för alla som använder en digital enhet. De internet skulle vara en farlig plats utan kryptering 5 vanliga krypteringstyper och varför du inte borde göra dina egnaÄr det bra att rulla din egen krypteringsalgoritm? Har du någonsin undrat vilka typer av kryptering som är de vanligaste? Låt oss ta reda på. Läs mer , liksom Wi-Fi-åtkomstpunkter och lösenordsskyddade enheter som iPhones.

Men iPhone är inte längre den bastion av säkerhet den en gång var. Amerikanska brottsbekämpande myndigheter använder ett billigt verktyg för att kringgå iPhone-kryptering, vilket drastiskt minskar integriteten och samtidigt skadar säkerheten.

Här är en djupare titt på det nya GrayKey-verktyget, vad det gör, varför det är farligt och varför Apple är oroliga för det.

Apple vs. FBI

Innan vi undersöker GrayKey, lite bakgrundskontext för iPhone-kryptering och försök att knäcka den.

Kommer du ihåg San Bernardino iPhone? Efter en terroristattack i San Bernardino tog FBI Apple till domstol. FBI ville att Apple skulle skapa en kryptering bakdörr som skulle låta dem kjolas iPhone-säkerheten för en av de avlidna terroristerna. Naturligtvis vägrade Apple,

instagram viewer
korrekt påstå att när bakdörren skapades skulle den aldrig stängas Varför vi aldrig ska låta regeringen bryta krypteringAtt leva med terrorist innebär att vi möter regelbundna krav på en verkligt löjlig uppfattning: skapa regeringsåtkomliga krypteringsdörrar. Men det är inte praktiskt. Här är varför kryptering är avgörande för det dagliga livet. Läs mer .

Det israeliska baserade säkerhetsföretaget Cellebrite hittade så småningom ett sätt genom Apple-säkerhetsmekanismerna med en tidigare okänd sårbarhet. Och det fanns ingenting om telefonen. Observera också att Cellebrite-tjänsten vid den tidpunkten kostade $ 5000 per enhet och telefonen måste skickas till deras säkra anläggning.

Blixt fram till 2017. Ett företag som kallas Grayshift visas på marknaden och säljer sin nya produkt: GrayKey. Syftet med GrayKey var oklart tills Thomas Fox-Brewster avslöjade enheten i en Forbes Exclusive, inklusive flera bilder samt en översikt över exakt vad GrayKey iPhone unlocker gör.

GrayKey iPhone Unlocker

Här är vad som är känt om GrayKey iPhone unlocker hittills.

GrayKey-enheten i sig är en liten, grå ruta som mäter fyra tum djupa och två tum höga. Lådan har två Lightning-kablar som sticker ut framsidan för att ansluta två iPhones åt gången.

GrayKey hackar Apple iPhones för brottsbekämpande och säkerhetsorgan

En iPhone ansluts till GrayKey-enheten i ungefär två minuter, varefter de är frånkopplade men ännu inte knäckta. Den verkliga krackningstiden varierar beroende på lösenordets styrka.

Ett enkelt lösenord tar cirka två timmar att knäcka med brute-force, medan svårare lösenord (sex siffror) kan ta tre dagar eller längre. Dokumentationen från GrayKey, som också ses av Malwarebytes, nämner inte spricktiden för längre kombinationer.

När sprickan hittar enhetens lösenord visar telefonen en svart skärm som visar koden med annan enhetsinformation. (Tips för att skapa ett starkt och minnesvärt lösenord. Hur man skapar ett starkt lösenord som du inte kommer att glömmaVet du hur du skapar och kommer ihåg ett bra lösenord? Här är några tips och tricks för att behålla starka, separata lösenord för alla dina onlinekonton. Läs mer )

GrayKey laddar ner hela iPhone

Upplåsaren visar enhetens lösenord, men det laddar också ner hela iPhone-filsystemet till GrayKey-enheten. GrayKey ansluter sedan till ett webbaserat gränssnitt där det är tillgängligt för analys.

Bilden nedan visar resultaten från en knäckt iPhone X. Notera "hittat lösenord", den senaste "programvaruversionen" och "iTunes Backup" och "Full Filesystem" tillgängliga för nedladdning (inklusive deras SHA256-hash).

GrayKey kostar mycket pengar

GrayKey iPhone unlocker har två olika versioner.

Den första modellen kostar $ 15 000 och kräver internetuppkoppling för att fungera. Därmed är enheten geofencerad till sitt ursprungliga installationsnätverk för att se till att GrayKey inte lätt överförs. Andra rapporter hävdar att den långlivade modell för internetanslutning också tillåter bara 300 låsningar, som arbetar med $ 50 per iPhone.

Den andra modellen kostar $ 30 000 och fungerar offline, utan någon uppenbar gräns för antalet användningar av GrayKey-enheten. Enheten fungerar förmodligen tills Apple äntligen räknar ut sårbarheten och korrigerar den.

Vilka brottsbekämpande byråer har en GrayKey?

Även om detta utan tvekan är enorma summor pengar, kommer budgeten för brottsbekämpande myndigheter lätt (eller mirakulöst, beroende på byrån) sträcker sig efter ett verktyg som skapar en helt ny aveny av information. Speciellt en som tidigare inte kunde uppnås för många byråer, åtminstone i en så till synes lätt kapacitet.

En pågående Moderkort utredningen fann att flera olika byråtyper redan hade köpt en GrayKey:

  • Lokal polis: Miami-Dade County-polisen indikerade att de kan ha köpt en GrayKey-enhet.
  • Regional polis: De Maryland State Police och Indiana State Police har utfärdat upphandlingsformulär för GrayKey-enheter.
  • Stadspolisen: Dokument visar också att Indianapolis Metropolitan Police Department fick en offert från Grayshift angående GrayKey-enheter.
  • Hemlig service:E-postmeddelanden visas byrån planerar att köpa sex GrayKey-enheter.
  • Utrikesdepartementet: Department of State's Bureau of Diplomatic Security köpte en artikel på $ 15.000 från Grayshift i mars 2018, enligt poster för offentlig upphandling.
  • DEA: Läkemedelsmyndigheten utfärdade ett Sources Sought-dokument för en offline GrayKey-enhet.
  • FBI: Online-upphandlingar om offentlig upphandling visar att FBI vill köpa sex GrayKey-enheter.

Om Grayshifts GrayKey fortsätter att förse myndigheterna med tidigare ouppnåeliga iPhone-uppgifter, kommer du sannolikt att se fler byråupphandlingsformer.

IRS är nu en GrayShift-kund - 15k $ köp av iPhone-hacker-satsen https://t.co/lWDLQscSHY

- Thomas Fox-Brewster (@iblametom) 23 juni 2018

Vad gör Apple för att stoppa GrayKey?

Som ni kan föreställa er Apple inte bäst nöjd med att iPhone: s säkerhet bryts så offentligt. Och inte bara gamla iPhone-appar - vi pratar om de bästa enheterna som kör några av de senaste versionerna av iOS. Apple kommer inte att sitta och vänta på att Grayshift håller sårbarheten öppen.

Istället i den nuvarande offentliga beta-iOS 12 finns det en ny funktion som drastiskt begränsar åtkomsten till Lightning-porten på en låst iPhone. (Fler funktioner som kommer till din iPhone med iOS 12! Vad är nytt i iOS 12? 9 Ändringar och funktioner att kolla iniOS 12 har kommit. Lär dig mer om de spännande nya funktionerna som nu finns tillgängliga på en iPhone eller iPad nära dig. Läs mer )

”Vi stärker ständigt säkerhetsskyddet i alla Apple-produkter för att hjälpa kunder att försvara mot hackare, identitetstjuvar och intrång i deras personuppgifter, berättade en talesman för Apple Reuters. "Vi har den största respekten för brottsbekämpning och vi utformar inte våra säkerhetsförbättringar för att frustrera deras ansträngningar att göra sina jobb."

iOS 12 kommer att göra Lightning-porten brute-force attacker värdelösa genom att inaktivera åtkomst via den rutten efter bara en timme. Det nya USB-begränsade läget kommer att stoppa all datakommunikation från en nyansluten enhet efter den 60-minutersperioden, vilket effektivt gör GrayKey värdelös. De nuvarande inställningarna för USB-begränsat läge har en tidsgräns på en vecka, vilket ger myndigheterna en lång period för att förhoppningsvis brute-force lösenordet.

Hur kan du skydda dig mot GrayKey?

Med tanke på den inkommande uppdateringen till iOS 12 och införandet av begränsningar i USB-begränsat läge, finns det bara en sak du kan göra just nu: uppdatera dina lösenord. Du bör alltid använda minst åtta siffror för att hålla telefonen säker. Alternativt, för att verkligen få ut din iPhone-säkerhet, byt till en längre lösenfras.

iOS stöder anpassade numeriska och anpassade alfanumeriska koder av vilken längd som helst. En lösenfras använder flera ord för att skapa mycket starkare lås Varför lösenfraser är fortfarande bättre än lösenord och fingeravtryckKommer du ihåg när lösenord inte behövde vara komplicerade? När PIN-koder var lätt att komma ihåg? De dagarna är borta och cyberbrottsrisker innebär att fingeravtrycksskannrar är nästan värdelösa. Det är dags att börja använda lösenord ... Läs mer än din vanliga PIN-kod eller lösenord. Kolla in det extremt relevanta XKCD komisk för mer information:

Vad gör Apple med GrayKey-kryptering?

Det pågående grå området av GrayKey

Just nu har brottsbekämpande myndigheter korten. Åtminstone på något sätt. En iPhone med dålig säkerhet är sårbar. Emellertid kanske denna situation inte kommer att pågå länge, såvida inte Grayshift fortsätter hitta sårbarheter och lösningar för Apples iPhone-säkerhetsfixar. Dessutom är GrayKey inte enastående.

IP-Box var en liknande enhet som kunde komma åt informationen om låsta iPhoner som kör äldre iOS-versioner. Dess funktionalitet upphörde med iOS 8.2-uppdateringen men gav upphov till IP-Box 2. IP-Box 2 är fortfarande allmänt tillgänglig men kräver kunskap om hur man tar bort integrerade kretschips för att placera i enheten.

Det finns andra konsekvenser också. Är iPhone permanent sårbar efter att lösenordssprickningen är klar? Kan iPhone-ägaren använda sin telefon som normalt igen, eller behöver den bytas ut?

Och slutligen, hur ska myndigheterna bestämma när de ska använda sin GrayKey-enhet? Jag menar, finns det ett definierat protokoll som styr enhetslösenordssprickning med ett tredjepartsverktyg? Behöver de en utfärdande, rimlig misstank och så vidare?

De pågående implikationerna och debatten kring lösenordssprickning i iPhone med hjälp av en GrayKey-enhet kommer att fortsätta. Jag är säker på att majoriteten av läsarna förväntar sig att brottsbekämpning gör så mycket de kan för att skydda offren. Om lösenordssprickning blir en viktig del av medborgarsäkerheten, litar du på myndigheterna att utöva den makten vid rätt tidpunkt?

Och skulle du bara öka mängden kryptering på din enhet 7 skäl till varför du ska kryptera dina smarttelefondataKrypterar du din enhet? Alla större operativsystem för smarttelefoner erbjuder kryptering av enheter, men ska du använda den? Här är varför smarttelefonkryptering är värt och påverkar inte hur du använder din smartphone. Läs mer motverka deras ansträngningar?

Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidskrivning med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.