IT

– Ubrukelig kryptering på iPhone

Hardware-krypteringen i iPhone 3GS gjør ikke telefonen vanskeligere å hacke, ifølge utvikler. Han mener krypteringen er ubrukelig.
Hardware-krypteringen i iPhone 3GS gjør ikke telefonen vanskeligere å hacke, ifølge utvikler. Han mener krypteringen er ubrukelig. Bilde: Apple
Stein Jarle Olsen
24. juli 2009 - 11:06

En av nyvinningene i Apples iPhone 3GS er innebygget kryptering som skal gjøre telefonen langt mer spiselig for bedrifter som håndterer sensitive opplysninger eller annen viktig data.

Ubrukelig

Men ifølge iPhone-utvikler og hacker (!) Jonathan Zdziarski er krypteringen så dårlig at den kan brytes på under to minutter med fritt tilgjengelig programvare.

– Det er som å lagre alle dine hemmelige beskjeder rett ved siden av den hemmelige dekodernøkkelen. Jeg tror ikke noen av oss utviklere noen gang har sett en så dårlig implementert kryptering, sier han til Wired.

Populær businesstelefon

Mange bedrifter ser imidlertid ikke ut til å ha brydd seg. Under kvartalspresentasjonen tidligere denne uken opplyste Apple at 20 av de 100 største selskapene i USA hadde kjøpt minst 10.000 iPhoner hver.

Mange hadde sågar kjøpt 25.000.

Ifølge Zdziarski er det akkurat like lett for ham å få tak i brukerens personlige informasjon på hardware-krypterte iPhone 3GS som det er på en ukryptert 3G eller tidligere iPhone.

Fort gjort

Å kopiere hele disken på en iPhone kan gjøres på omtrent 45 minutter, sier utvikleren, som mener det er opp til programvareutviklerne å legge til et ekstra lag med sikkerhet i programmene sine siden Apple ikke makter det selv.

– Hvis de stoler på Apples sikkerhet, kommer applikasjonen deres til å bli forferdelig usikker. Apple kan teknisk sett ha rett i at iPhone 3GS har innebygd kryptering, men den er ubrukelig som sikkerhet, sier Zdziarski.

Lagrer tastetrykkene

Og det er ikke kun krypteringen som bekymrer. Når du trykker på Home-knappen lagres det automatisk en skjermdump som lagres midlertidig på telefonen.

Og hver gang du trykker en tast lagres det i en logg, som dermed kan ende opp med å inneholde både kredittkortnumre og Facebook-meldinger gjennom Safari.

Teksten kan finnes igjen over et år tilbake, ifølge Zdziarski, som demonstrerte problemene for Wired.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.