Google ontdekte tien lekken om iPhones op afstand aan te vallen
Onderzoekers van Google hebben de afgelopen maanden tien kwetsbaarheden in iOS ontdekt die zijn te gebruiken om iPhones op afstand aan te vallen en in het ergste geval over te nemen, zonder dat hiervoor enige interactie van gebruikers is vereist. Alle tien de lekken zijn inmiddels door Apple gepatcht.
Dat laat Google-onderzoeker Natalie Silvanovich in een analyse weten. Ze besloot samen met onderzoeker Samuel Groß naar de de veiligheid van de iPhone te kijken. Eén van de redenen waren geruchten en berichten over kwetsbaarheden die aanvallers gebruikten om iPhones op afstand over te nemen. Er was echter beperkte technische informatie over deze beveiligingslekken beschikbaar. Het onderzoek van Silvanovich en Groß leverde verschillende ernstige kwetsbaarheden op die inderdaad voor dergelijke remote 'zero click' aanvallen zijn te gebruiken.
Zoals de naam al doet vermoeden gaat het hier om aanvallen die geen interactie van de gebruiker vereisen. De iPhone biedt verschillende aanvalsoppervlaktes om deze aanvallen uit te voeren, waaronder sms, mms, Visual Voicemail, e-mail en iMessage. Silvanovich besloot naar deze vijf communicatiemethodes te kijken, maar ontdekte geen beveiligingslekken in sms en mms. Een kwetsbaarheid in Mail maakte het alleen mogelijk om een denial of service te veroorzaken.
In Visual Voicemail ontdekte Silvanovich wel een ernstige kwetsbaarheid. Met Visual Voicemail kunnen gebruikers op een e-mailachtige manier een lijst met berichten zien en zelf kiezen welke ze beluisteren of verwijderen. Door het versturen van een kwaadaardig sms-bericht was het mogelijk voor een aanvaller om Visual Voicemail met een opgegeven IMAP-server verbinding te laten maken waarna het mogelijk was om de iPhone IMAP-client aan te vallen. Een lek in deze software leidde uiteindelijk tot de mogelijkheid om willekeurige code op het toestel uit te voeren.
Het grootste aanvalsoppervlak bleek iMessage te bieden. Acht kwetsbaarheden gaven de onderzoekers de mogelijkheid om iPhones op afstand over te nemen door alleen het versturen van een bericht. Er was geen interactie van de gebruiker vereist. Volgens Silvanovich biedt iMessage een breed en lastig te enumereren aanvalsoppervlak. "Het aantal en de ernst van de remote kwetsbaarheden die we ontdekten was aanzienlijk. Het verkleinen van het remote aanvalsoppervlak van de iPhone zal waarschijnlijk de veiligheid ervan verbeteren", besluit de Google-onderzoeker.
Tegen betaling van de hoofdprijs.
Kunnen we ook weer gewoon Microsoft en Linux producten gebruiken.
Begrijpend lezen is lastig, maar: "Alle tien de lekken zijn inmiddels door Apple gepatcht.", zo eindigt de eerste allinea!?
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Goede reactie vind ik: helemaal mee eens!
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
Google onderzoekt op dezelfde manier Android. Alleen lukt het Google om de gaten binnen 90 dagen te dichten. Vaak omdat de onderzoekers ook aan kunnen geven hoe iets opgelost zou kunnen worden. Ze hebben namelijk toegang tot de code en kunnen desnoods zelf een CL (Change List) indienen.
Het staat de Google ontwikkelaars natuurlijk vrij om het probleem op een andere manier op te lossen. Alleen trek je dan de aandacht van het security team. Is de oplossing van de ontwikkelaar beter, dan leert het team ervan. Is hun oplossing beter, dan heeft de ontwikkelaar wat uit te leggen. Het kan zijn dat zijn oplossing het probleem ook oplost, maar dat hij bij zijn oplossing ook de impact op andere delen van zijn code meeneemt. Dat is een legitieme keuze.
Peter
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
Proest, Google moet eerst eens kijken naar die leveranciers van smartphones die het vertikken om Android te patchen.
Gewoon niet patchen binnen een vooraf gestelde termijn en je ben je Android licentie kwijt.
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
Proest, Google moet eerst eens kijken naar die leveranciers van smartphones die het vertikken om Android te patchen.
Gewoon niet patchen binnen een vooraf gestelde termijn en je ben je Android licentie kwijt.
Google heeft een licentie waarbij je dat wel verplicht bent. Daarnaast is Android open source en kunnen de leveranciers gewoon hun eigen versie op hun toestellen zetten.
Trouwens. Als Google dergelijke dwangmiddelen gaat toepassen staan ze binnen no-time voor de rechter wegens misbruik van hun macht. Google kan zoiets op geen enkele wijze goed doen.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
