Apple dicht 'SMS of Death' lek in iPhone
Beveiligingsonderzoeker Charlie Miller demonstreerde deze week hoe hij via kwaadaardige SMS-berichten Android telefoons en iPhones kan uitschakelen en overnemen, maar Apple heeft het lek nu gepatcht. Het probleem met de iPhone wordt veroorzaakt door de manier waarop het SMS-berichten verwerkt. Hierdoor raakt het geheugen corrupt en kan een aanvaller willekeurige code uitvoeren of het apparaat laten crashen. Hoewel Apple al zes weken geleden was ingelicht, kwam het pas gisterenavond met een update voor de mobiele telefoon. Om de aanval uit te voeren moet een aanvaller honderden SMS controleberichten sturen, die van normale SMS-berichten verschillen. De iPhone update is via Apple.com te downloaden.
Android
In het geval van mobiele telefoons met het Android besturingssysteem was het alleen mogelijk om de telefoon van het netwerk te gooien en niet over te nemen. Google verhielp vorige week de kwetsbaarheid, twee dagen nadat het op de hoogte was gesteld. Toch noemen de onderzoekers het lek in Android interessanter, omdat het mogelijk is een mobiele telefoon permanent verbinding met het netwerk te laten verliezen. Dit gebeurt alleen als er een PIN voor de SIMkaart is ingesteld. Het probleem is als de aanval is uitgevoerd en de telefoon zich herstart, de modem wordt gereset en daardoor ook de PIN. Pas als een gebruiker de PIN invoert kan hij weer gebeld worden en SMS-berichten ontvangen.
Stille aanval
Het gaat hier echter om een "stille aanval" waar de gebruiker niets van ziet of merkt. Hij of zij krijgt geen bericht van de kwaadaardige SMS en weet daardoor ook niet dat verbinding met het netwerk verbroken is. "De enige manier om dit te controleren is om te kijken of de SIMkaart nog gelockt is", aldus Collin Mulliner en Charlie Miller die hun werk tijdens de Black Hat conferentie lieten zien. Ook Windows Mobile telefoons zijn kwetsbaar, maar een aanval daarvoor is nog in de maak. Het volledige onderzoek van Mulliner en Miller is hier te downloaden.
Wat is dan nou weer voor vooringenomen mening die naar de lezers geventileerd wordt?
Ze hebben na de melding hiervan de patch gemaakt, die stond dus klaar.
Na de presentatie van de ontdekkers hebben ze de patch vrijwel direct beschikbaar gemaakt.
Dus ze patchen een in openbaarheid gekomen lek vrijwel in 24 uur.
Die zes weken dat ze er zelf vanaf wisten samen met de ontdekkers, tellen wat mij betreft niet mee want dit lek was voor de rest van de wereld onbekend en werd dus niet misbruikt.
Ik vind juist dat er prima gehandeld is, Apple heeft de patch kunnen maken voor het in openbaarheid kwam, de ontdekkers hebben hun presentatie kunnen geven waarbij het probleem dus nog actueel was en voordat de hierdoor openbaar geworden kennis misbruikt kan worden geeft Apple de patch uit.
Nu snap ik wel dat een dergelijke kop journalistiek gezien leuk is, maar ik houd zelf toch meer van een objectievere benadering.
Eigenlijk vind ik ook dat de persoonlijke mening van de schrijver van een artikel nooit in de kop te zien mag zijn, maargoed ieder zijn ding.
Omdat de wereld pas 1 dag weet dat mijn kind in het kolenhok zit opgesloten laat ik het nu wel vrij. Die 6 weken dat het er al in zat tellen dus niet. Ook niet voor de rechter. Dat scheelt gelukkig.
Daarnaast weet je niet of andere personen met duistere bedoeling het lek al weten. Dat gaan ze natuurlijk nooit kenbaar maken.
Serleena
Misschien is hierbij wel afgesproken dat het daarvoor niet gepatched zou worden.
Mede door de gebruikte methode was aan te nemen dat het niet zo makkelijk door iemand anders ook gevonden zou zijn binnen die periode. Nu hebben Collin Mulliner en Charlie Miller hun presentatie kunnen geven terwijl het lek actueel was, dat is toch wel een stuk interessanter als een verhaal zoals 'dit kon 5 weken geleden nog'.
Ik zie ook genoeg bedrijven fout reageren in een dergelijk geval en zelfs door rechters laten verbieden dat een dergelijke presentatie gegeven wordt. Die bedrijven hoeven in het vervolg waarschijnlijk niet te verwachten dat dit soort mensen eerst een praatje komen maken over dit soort zaken.
Daarom vind ik dus dat dit gewoon netjes is verlopen, het is waarschijnlijk gewoon zo afgesproken.
Wat is dan nou weer voor vooringenomen mening die naar de lezers geventileerd wordt?
Ze hebben na de melding hiervan de patch gemaakt, die stond dus klaar.
Na de presentatie van de ontdekkers hebben ze de patch vrijwel direct beschikbaar gemaakt.
Dus ze patchen een in openbaarheid gekomen lek vrijwel in 24 uur.
Die zes weken dat ze er zelf vanaf wisten samen met de ontdekkers, tellen wat mij betreft niet mee want dit lek was voor de rest van de wereld onbekend en werd dus niet misbruikt.
Ik vind juist dat er prima gehandeld is, Apple heeft de patch kunnen maken voor het in openbaarheid kwam, de ontdekkers hebben hun presentatie kunnen geven waarbij het probleem dus nog actueel was en voordat de hierdoor openbaar geworden kennis misbruikt kan worden geeft Apple de patch uit.
Nu snap ik wel dat een dergelijke kop journalistiek gezien leuk is, maar ik houd zelf toch meer van een objectievere benadering.
Eigenlijk vind ik ook dat de persoonlijke mening van de schrijver van een artikel nooit in de kop te zien mag zijn, maargoed ieder zijn ding.
Objectief is dat het lek er al jaren inzit. En dus door iedereen misbruikt kon/kan worden. Hoe weet je zeker dat het niet al misbruikt is ??????
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
