iPhone via sms-spervuur vatbaar voor hackers

Het beveiligingslek is aan het licht gebracht door Charlie Miller en Collin Mulliner, die verslag deden van hun bevindingen tijdens de BlackHat-conferentie in Las Vegas. Miller is security analist bij adviesbureau Independent Security Evaluators en Mulliner studeert aan de Technische Universiteit in Berlijn. Miller gaf op 3 juli al ruchtbaarheid aan het probleem maar onthield zich van details, volgens hem op aandrang van Apple.

Redactie AG ConnectMeer van deze auteur

Hij kondigde indertijd wel aan tijdens BlackHat op de zaak terug te zullen komen.

Volgens Miller en Mulliner kunnen hackers met de informatie die donderdag in Las Vegas is gepresenteerd binnen twee weken malware ontwikkelen die het mogelijk maakt in te breken in een iPhone. Alle generaties van de smartphone van Apple zijn volgens hen kwetsbaar voor het lek en een aanval valt niet te vermijden, behalve uiteraard door het toestel uitgeschakeld te houden. Beide experts zeggen hun aanval met succes te hebben getest op vier netwerken in Duitsland en op het netwerk van AT&T in de Verenigde Staten.

De aanval maakt misbruik van een zwakke plek in de manier waarop het iPhone OS tekstberichten afhandelt. Daarbij kan programmacode “overstromen” naar andere delen van het telefoongeheugen en daar als executable worden uitgevoerd. Kwaadkwillenden kunnen op die manier bijvoorbeeld via de ingebouwde gps de exacte locatie van de telefoon bepalen, meeluisteren met gesprekken, de camera inschakelen en tekstberichten met malware doorsturen naar het adresboek van het slachtoffer.

De aanval die Miller en Mulliner demonstreerden, berust op een salvo van maar liefst 512 ogenschijnlijk lege sms-berichten waarin kwaadaardige programmacode verstopt zit. Voor de ontvanger is alleen het eerste sms’je zichtbaar, en dat bevat slechts een vierkantje. Maar Miller waarschuwt dat hackers de aanval eenvoudig kunnen aanpassen zodat een ander letterteken, of helemaal niets, te zien is.

Windows Mobile van Microsoft zou een soortgelijk probleem met de sms-afhandeling hebben, waardoor hackers ook smartphones met dit besturingssysteem in hun macht kunnen krijgen. Miller en Mulliner claimen ook andere fouten in het iPhone OS en in Android van Google te hebben blootgelegd. Hierdoor kan een aanvaller een telefoon met een serie sms-berichten telkens opnieuw 10 seconden van het mobiele netwerk afgooien, waardoor de gebruiker de facto onbereikbaar wordt.

Apple zal morgen (zaterdag) een patch voor het sms-lek verspreiden via iTunes. Dat heeft het Britse mobielebelbedrijf O2 gezegd, meldt de nieuwsdienst van de BBC.

Outsourcing: waar stopt controleren en start vertrouwen?

Een IT-manager wil het liefst de controle houden over de IT-omgeving. Het uitbesteden van IT-beheer staat haaks op deze behoefte.

2 min

Nieuws Verbeteren klantervaring Partner

Endava en USoft gaan partnership aan om technologische impact wereldwijd te vergroten

De samenwerking is een logische stap in Endava’s bredere strategie om de service-integratie voor klanten over de hele wereld te verbeteren.

3 min

Nieuws Cyberaanvallen Partner

Recordpiek cyberaanvallen in Nederland

Onderzoek laat een recordpiek (+75%) in cyberaanvallen zien op organisaties wereldwijd. Nederland zag een sterke stijging van 69%.

3 min

Meer whitepapers

Whitepaper Artificial Intelligence

Infographic: Is jouw organisatie AI-proof?

Hoe integreer je AI in je bedrijfsvoering? Deze infographic toont de belangrijkste stappen om een AI-proof organisatie te worden.

Whitepaper Artificial Intelligence

AI voor IT-leiders; ontdek wat er nodig is om jouw AI-ready infrastructuurstrategie te bouwen

Ontdek wat er nodig is om jouw AI-ready infrastructuurstrategie te bouwen.

Whitepaper Security

Fysieke security van datacenters net zo belangrijk als cybersecurity

Dit is waarom fysieke security van datacenters zo essentieel is.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee