Postingan
Para peneliti di Jerman mengatakan bahwa mereka telah mampu mengungkapkan password disimpan dalam iPhone terkunci hanya dalam enam menit dan mereka melakukannya tanpa retak kode akses telepon.
Serangan, yang mengharuskan memiliki telepon, target keychain, password sistem manajemen Apple. Password untuk jaringan dan sistem informasi perusahaan dapat terungkap jika iPhone atau iPad hilang atau dicuri, kata para peneliti di Institut Fraunhofer disponsori negara Secure Teknologi Informasi (Fraunhofer SIT).
Hal ini didasarkan pada ada eksploitasi yang menyediakan akses ke sebagian besar dari sistem file IOS bahkan jika perangkat terkunci.
Dalam sebuah video yang menunjukkan serangan, para peneliti jailbreak pertama telepon dengan menggunakan perangkat lunak yang ada. Mereka kemudian menginstal server SSH di iPhone yang memungkinkan software untuk dijalankan di telepon.
Langkah ketiga adalah dengan menyalin script akses keychain ke telepon. Skrip ini menggunakan fungsi sistem yang sudah di telepon untuk mengakses entri keychain dan, sebagai langkah terakhir, output rincian rekening itu menemukan bagi penyerang.
Serangan itu bekerja karena kunci kriptografi pada perangkat IOS saat ini didasarkan pada materi yang tersedia dalam perangkat dan independen dari kode sandi, kata para peneliti. Ini berarti penyerang dengan akses ke telepon dapat membuat kunci dari telepon yang mereka miliki tanpa harus hack kode akses terenkripsi dan rahasia.
Menggunakan serangan tersebut, peneliti dapat mengakses dan mendekripsi password dalam keychain, tetapi tidak password dalam kelas perlindungan lain.
Di antara password yang dapat diturunkan adalah mereka untuk Google Mail sebagai account Exchange MS, MS Exchange lain, rekening LDAP, pesan suara, password VPN, password WiFi dan beberapa password App. Peneliti menerbitkan makalah dengan rincian lengkap hasil serangan itu.
"Begitu penyerang yang dimiliki oleh iPhone atau iPad dan telah menghapus perangkat kartu SIM, mereka bisa mendapatkan terus password e-mail dan kode akses ke VPN perusahaan dan WLAN juga," kata para peneliti dalam sebuah pernyataan . "Pengendalian account e-mail memungkinkan penyerang untuk mendapatkan bahkan lebih tambahan password:. Untuk layanan banyak web seperti jaringan sosial penyerang hanya untuk meminta reset password"
Serangan itu memiliki arti penting khusus bagi perusahaan yang memungkinkan karyawan untuk menggunakan iPhone di jaringan perusahaan, karena dapat mengungkapkan password akses jaringan.
"Pemilik dari perangkat IOS hilang atau dicuri karena itu sebaiknya segera memulai mengubah semua password yang disimpan," kata Fraunhofer SIT. "Selain itu, ini harus juga dilakukan untuk piutang tidak disimpan pada perangkat, tetapi yang mungkin memiliki password yang sama atau serupa, karena penyerang dapat mencoba password mengungkapkan terhadap daftar lengkap rekening diketahui."
Para peneliti di Fraunhofer SIT sebelumnya telah mengungkapkan masalah keamanan dengan sistem operasi lain. Pada akhir tahun 2009 mereka menerbitkan beberapa skenario serangan penjahat bisa gunakan untuk mengakses file yang dilindungi oleh teknologi disk-enkripsi BitLocker Microsoft. Tahun lalu pihaknya mulai menjual ponsel aplikasi Java untuk aman menyimpan password. "sumber (pcworld)
Articles yF
0 komentar:
Posting Komentar