Nog geen patch voor ernstig sms-lek Iphone
Hackers demonstreren exploit
30 juli 2009 | Janneke Scheepers
Er is nog geen patch voor het ernstige sms-lek in de Iphone, ondanks dat Apple hier zes weken geleden al van op de hoogte is gesteld. Dat zeggen de onderzoekers Collin Mulliner en Charlie Miller (foto). Zij ontdekten dat ze de controle over de Iphone kunnen overnemen via reeksen sms-berichten met kwaadaardige code.
Het tweetal heeft de exploit woensdag op de Black Hat-conferentie gedemonstreerd op de Iphone van CNet-blogger Elinor Mills. Zij vertelt op onze Amerikaanse zustersite wat er gebeurde.
"Terwijl ik via de telefoon praatte met Charlie Miller, stuurde zijn partner Colin Mulliner me een sms-bericht. De ene minuut sprak ik nog met Miller; de volgende minuut was mijn telefoon dood. Na een paar seconden kwam het toestel terug tot leven, maar ik kon geen gesprekken meer starten of ontvangen tot ik herstartte."
Onderzoekers Collin Mulliner en Charlie Miller (Foto: Elinor Mills/CNet)
Geheugencorruptiefout
Het lek dat deze aanval mogelijk maakt, is een ernstige geheugencorruptiefout in de manier waarop de Iphone omgaat met sms-berichten. Er is geen patch. Wel is Apple zo'n zes weken geleden van het probleem op de hoogte gesteld, volgens Miller. Hij is beveiligingsonderzoeker bij Independent Security Evaluators.
Een aanvaller kan het lek uitbuiten om te bellen, data te stelen, de microfoon aan te zetten, GPS te gebruiken, sms-berichten te sturen, eigenlijk alles te doen wat de eigenaar ook kan met zijn Iphone. Hij heeft voor zijn aanval enkel het telefoonnummer van het slachtoffer nodig.
Eenmaal tot de telefoon van het slachtoffer doorgedrongen, kan de hacker een sms sturen naar iedereen in het adresboek en de aanval van telefoon tot telefoon verspreiden.
Android
Afgelopen voorjaar demonstreerde beveiligingsbedrijf Trust Digital een vergelijkbare aanval genaamd Midnight Raid Attack. Daarbij wordt eveneens een sms-bericht naar een telefoon gestuurd. Na ontvangst wordt automatisch een webbrowser geopend en bezoekt de telefoon een website met malware.
Recenter zijn ook Android-gebaseerde telefoons vatbaar gebleken voor een sms-aanval. Hackers waren in dit geval echter niet in staat om de controle over te nemen. Wel konden ze de toestellen tijdelijk van het netwerk gooien, volgen Mulliner, die promoveert aan de Technische Universiteit Berlijn.
Google heeft het lek vorige week gepatcht. Dat was zo'n twee dagen nadat het bedrijf van het probleem op de hoogte was gesteld.
Lees verder op ZDNet »
Externe links »
» Bèta Windows 8 mist startknop
news
Uit gelekte screenshots blijkt dat Microsoft de startknop die al aanwezig is sinds Windows 95 uit de binnenkort te verschijnen bèta van Windows 8 heeft gehaald.
» 'iPad 3 wordt in maart gelanceerd'
news
De kans is groot dat de volgende iPad in de eerste week van maart al wordt voorgesteld.
» Op Facebook verlies je al jouw rechten
news
Wie zichzelf als particulier, bedrijf of zelfstandige promoot via Facebook, stuit op zeer strikte voorwaarden. De site bezit alles en mag je voor het minste buitengooien.
Review: Never Dead
Game
"Schiet me maar aan flarden, ik raap me wel terug bijeen!", Huh? Innovatie is leuk, maar een hoofdrolspeler die zijn eigen lichaam verzamelt, is nieuw. Brengt Never Dead nog meer nieuwigheden of blijft het hier bij?
