De hackers die Apple iOS 6.0 en 6.1 wisten te jailbreaken zijn niet van plan om niet gepubliceerde lekken in Apple's mobiele besturingssysteem aan de softwaregigant uit Cupertino te rapporteren. Daardoor zouden iPhone- en iPad-gebruikers in potentie risico lopen, omdat Apple deze lekken pas na het verschijnen van een nieuwe jailbreak ontdekt.
Dat lieten de vier leden van evad3rs tijdens een persconferentie op Hack in the Box in het Amsterdamse Okura hotel gisteren weten. Onder aanwezige journalisten was de stille hoop dat de hackers een nieuwe jailbreak voor iOS 6.1.3 zouden aankondigen, maar dat bleek niet het geval.
"iOS 6.1.3 zou een verschrikkelijke versie om te jailbreaken zijn", zegt MuscleNerd, één van de leden van de groep. Apple bracht deze versie recentelijk uit om de kwetsbaarheden te dichten waarmee evad3rs iOS 6.0 en 6.1 wisten te jailbreaken. Er werd verder geen nieuwe functionaliteit toegevoegd, waardoor het voor de groep niet interessant is om ook deze versie te jailbreaken.
Exploits
De groep zegt al over een aantal exploits te beschikken voor het geval iOS 6.2 of iOS 7 uitkomt. Het zou echter nog niet voldoende zijn om een werkende jailbreak mee uit te voeren. Ook is onbekend of deze kwetsbaarheden nog werken als Apple een nieuwe versie van het besturingssysteem uitbrengt.
De groep is echter niet van plan om ze met Apple te delen en zo gebruikers tegen eventuele lekken te beschermen. De op dit moment gevonden lekken zouden daarnaast niet ernstig genoeg zijn om aanvallers controle over het toestel te geven.
"Elke keer als je als beveiligingsonderzoeker een bug vindt, heb je de keuze om het aan de leverancier te melden zodat die gebruikers kan beschermen, kun je het voor jezelf houden, kun je hem verkopen, of in ons geval hou je hem voor de jailbreak", aldus Cyril Cattiaux, beter bekend als Pod2G.
"Als we iets vinden doen we ons best om te voorkomen dat het gebruikers op een vervelende manier beïnvloedt. We doen dan ook veel moeite om informatie over onze beveiligingslekken geheim te houden. Het is inderdaad een hekel punt, maar ik weet niet of er een echt antwoord op is. Als we al onze zero-days aan Apple zouden geven, dan zou dat het einde van de jailbreak betekenen."
David Wang, alias PlanetBeing, laat weten dat veel van de kwetsbaarheden die de groep ontdekt vanuit het punt van drive-by downloads gezien, waarbij een gebruiker een website bezoekt en automatisch met malware besmet raakt, niet zo belangrijk zijn. "De exploits die we gebruiken vormen een klein risico voor het publiek."
Eén van de aanvalsvectoren die bij de vorige jailbreak werd gebruikt zou niet werken als de schermvergrendeling bijvoorbeeld was ingesteld. Toch erkent hij dat ze niet helemaal ongevaarlijk zijn. "De lekken die wij interessant vinden hebben overlap met lekken die interessant worden gevonden door mensen die malware voor iOS schrijven, maar het is geen complete overlap."
Updates
Inmiddels zijn de recente jailbreak-lekken door Apple gepatcht, maar veel gebruikers van een gejailbreakt toestel kiezen er bewust voor om niet te updaten, omdat dan ook de jailbreak ongedaan wordt gemaakt. De updates van Apple verhelpen vaak ook andere lekken in iOS, waardoor gejailbreakte toestellen met beveiligingslekken achterblijven.
De hackers vinden dan ook dat iemand deze updates van Apple zou moeten overzetten, waarbij de jailbreak intact blijft maar de overige lekken gedicht worden. "Iemand zou dat moeten doen, maar daar hebben wij de tijd niet voor", laat MuscleNerd weten.
Hij wordt bijgevallen door Wang. "Als er echt een gevaarlijke situatie ontstaat dan zal er vast iemand zijn die de patches van Apple overzet, maar het is veel werk om te doen." De hackers doen al het onderzoek in hun eigen vrije tijd en zolang ze daar voldoende van hebben lijkt er geen einde aan het kat-en-muisspel tussen de evad3rs en Apple te komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.