Groot beveiligingslek iPhone ontdekt
Beveiligingsmedewerkers van Googles Project Zero hebben een aantal malafide websites ontdekt die gebruikmaken van een beveiligingslek waarmee de iPhone gehackt kan worden. Volgens Motherboard is dit één van de grootste aanvallen op gebruikers van iPhones tot op heden. Wanneer een gebruiker op zijn telefoon naar één van deze websites gaat, dan krijgen die sites toegang tot bestanden, berichten en de locatiedata van het apparaat. Apple is al op de hoogte van het probleem en heeft het lek inmiddels gedicht.
Ook zouden de websites software kunnen installeren die toegang geeft tot de plek waar alle wachtwoorden en beveiligingscertificaten in staan opgeslagen. Daardoor zouden hackers in accounts kunnen komen die normaliter afgeschermd zijn voor pottenkijkers, zoals bijvoorbeeld berichten die via WhatsApp of iMessage verstuurd zijn. Ondanks het feit dat dergelijke berichten van eind tot eind versleuteld worden, zouden de kwaadwillenden alle berichten kunnen bekijken in plain text (onbeveiligde bestanden met informatie).
Het beveiligingslek is ook zeer gevaarlijk te noemen, omdat het geen specifieke link nodig heeft om mensen te foppen. Het simpelweg bezoeken van de pagina is al voldoende voor een succesvolle aanval. Volgens Motherboard gaat het om duizenden bezoeken op wekelijkse basis. Door de iPhone opnieuw op te starten, zou de malafide software verwijderd worden. Maar omdat hackers toegang hebben tot je wachtwoorden en certificaten, kan er nog steeds toegang verleend worden tot profielen: die info hebben ze namelijk al in handen.
In totaal gaat het om veertien kwetsbaarheden verdeeld over vijf verschillende uitbaatkettingen; daaronder valt helaas ook ééntje die nog niet gepatcht was op het moment dat het lek ontdekt werd. De hackers waren op z’n minst twee jaar lang actief en probeerden mensen te hacken die iOS 10, iOS 11 of iOS 12 op hun iPhone hadden staan. Het Google-team contacteerde Apple hieronder in februari en gaf het bedrijf zeven dagen om het lek te dichten. Normaal krijgen bedrijven negentig dagen de tijd; dit laat zien hoe serieus het lek genomen werd.
Uiteindelijk heeft Apple het beveiligingslek met de release van iOS 12.1.4 kunnen dichten (dat was rond dezelfde tijd dat de Facetime-bug verholpen werd). Het lek is dus inmiddels gedicht door Apple, maar de onderzoekers zijn er nog niet helemaal gerust op. Het idee leeft namelijk dat er nog veel meer lekken zijn, die nog niet ontdekt zijn. Meer info over het lek lees je op het blog van de onderzoekers.
Reacties (0)