Nog geen patch voor ernstig sms-lek Iphone
Hackers demonstreren exploit
30 juli 2009 | Janneke Scheepers
Er is nog geen patch voor het ernstige sms-lek in de Iphone, ondanks dat Apple hier zes weken geleden al van op de hoogte is gesteld. Dat zeggen de onderzoekers Collin Mulliner en Charlie Miller (foto). Zij ontdekten dat ze de controle over de Iphone kunnen overnemen via reeksen sms-berichten met kwaadaardige code.
Het tweetal heeft de exploit woensdag op de Black Hat-conferentie gedemonstreerd op de Iphone van CNet-blogger Elinor Mills. Zij vertelt op onze Amerikaanse zustersite wat er gebeurde.
"Terwijl ik via de telefoon praatte met Charlie Miller, stuurde zijn partner Colin Mulliner me een sms-bericht. De ene minuut sprak ik nog met Miller; de volgende minuut was mijn telefoon dood. Na een paar seconden kwam het toestel terug tot leven, maar ik kon geen gesprekken meer starten of ontvangen tot ik herstartte."
Onderzoekers Collin Mulliner en Charlie Miller (Foto: Elinor Mills/CNet)
Geheugencorruptiefout
Het lek dat deze aanval mogelijk maakt, is een ernstige geheugencorruptiefout in de manier waarop de Iphone omgaat met sms-berichten. Er is geen patch. Wel is Apple zo'n zes weken geleden van het probleem op de hoogte gesteld, volgens Miller. Hij is beveiligingsonderzoeker bij Independent Security Evaluators.
Een aanvaller kan het lek uitbuiten om te bellen, data te stelen, de microfoon aan te zetten, GPS te gebruiken, sms-berichten te sturen, eigenlijk alles te doen wat de eigenaar ook kan met zijn Iphone. Hij heeft voor zijn aanval enkel het telefoonnummer van het slachtoffer nodig.
Eenmaal tot de telefoon van het slachtoffer doorgedrongen, kan de hacker een sms sturen naar iedereen in het adresboek en de aanval van telefoon tot telefoon verspreiden.
Android
Afgelopen voorjaar demonstreerde beveiligingsbedrijf Trust Digital een vergelijkbare aanval genaamd Midnight Raid Attack. Daarbij wordt eveneens een sms-bericht naar een telefoon gestuurd. Na ontvangst wordt automatisch een webbrowser geopend en bezoekt de telefoon een website met malware.
Recenter zijn ook Android-gebaseerde telefoons vatbaar gebleken voor een sms-aanval. Hackers waren in dit geval echter niet in staat om de controle over te nemen. Wel konden ze de toestellen tijdelijk van het netwerk gooien, volgen Mulliner, die promoveert aan de Technische Universiteit Berlijn.
Google heeft het lek vorige week gepatcht. Dat was zo'n twee dagen nadat het bedrijf van het probleem op de hoogte was gesteld.
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
