Verslag Lezing Raul Siles

'A retrospective security review of Apple’s mobile ecosystem'

Spreker Raul Siles, Oprichter van Dinosec en gecertificeerd instructeur bij het SANS instituut

Tijdens deze presentatie richtte Raul zich op het ecosysteem rondom de populaire mobiele oplossingen van Apple. Al bijna 10 jaar zijn de telefoons van Apple toonaangevend en hebben de reputatie veiliger te zijn dan de concurrenten. De rechtszaak tussen Apple en FBI die recentelijk in de media aandacht kreeg, richtte zich op de vraag hoe moeilijk het voor de fabrikant zou zijn een telefoon van een terrorist te kraken om forensisch onderzoek te kunnen doen.

.

 

 

 

 

 

In de presentatie blijkt dat iOS, het besturingssysteem van de iPhone en de iPad honderden bekende  kwetsbaarheden had. Ook malware kan voorkomen, al is daar weinig over bekend bij het grote publiek. Er zijn geen antimalware-oplossingen voor iOS. Dit betekent niet dat er geen malware mogelijk is.

Apple-producten danken hun veilige reputatie ook aan het feit dat het onmogelijk zou zijn om apps te installeren buiten de appstore om. Raul liet het publiek echter zien hoe eenvoudig dit is. Dit deed hij door gebruik te maken van een Enterprise Developer account, bedoeld voor bedrijven om interne applicaties te ontwikkelen en distribueren. Hiermee kunnen apps  die zonder gekeurd te worden door Apple, eenvoudig op elk apparaat worden geïnstalleerddoor te klikken op een link. Met tijdelijke toegang tot een apparaat is het nog eenvoudiger om ongekeurde apps te installeren: door Xcode te gebruiken en de app via usb te laden. Hiervoor is slechts een (gratis) Apple-id vereist.

Raul heeft ook technieken laten zien waarmee apps zich kunnen verbergen voor de gebruiker, waardoor opsporing van malware bemoeilijkt wordt. We zien ook mogelijkheden om het Lock Screen te omzeilen, door gebruik te maken van Siri, de spraakgestuurde interface. We zien kwetsbaarheden die het lekken van wachtwoorden naar malafide WiFi-accesspoints mogelijk maken, en dat het bijna onmogelijk is om een eenmaal vertrouwd certificaat in te trekken. Het publiek heeft de zaal met weliswaar meer kennis, maar minder vertrouwen verlaten.

 

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa