image

Google ontdekte tien lekken om iPhones op afstand aan te vallen

donderdag 8 augustus 2019, 10:59 door Redactie, 11 reacties

Onderzoekers van Google hebben de afgelopen maanden tien kwetsbaarheden in iOS ontdekt die zijn te gebruiken om iPhones op afstand aan te vallen en in het ergste geval over te nemen, zonder dat hiervoor enige interactie van gebruikers is vereist. Alle tien de lekken zijn inmiddels door Apple gepatcht.

Dat laat Google-onderzoeker Natalie Silvanovich in een analyse weten. Ze besloot samen met onderzoeker Samuel Groß naar de de veiligheid van de iPhone te kijken. Eén van de redenen waren geruchten en berichten over kwetsbaarheden die aanvallers gebruikten om iPhones op afstand over te nemen. Er was echter beperkte technische informatie over deze beveiligingslekken beschikbaar. Het onderzoek van Silvanovich en Groß leverde verschillende ernstige kwetsbaarheden op die inderdaad voor dergelijke remote 'zero click' aanvallen zijn te gebruiken.

Zoals de naam al doet vermoeden gaat het hier om aanvallen die geen interactie van de gebruiker vereisen. De iPhone biedt verschillende aanvalsoppervlaktes om deze aanvallen uit te voeren, waaronder sms, mms, Visual Voicemail, e-mail en iMessage. Silvanovich besloot naar deze vijf communicatiemethodes te kijken, maar ontdekte geen beveiligingslekken in sms en mms. Een kwetsbaarheid in Mail maakte het alleen mogelijk om een denial of service te veroorzaken.

In Visual Voicemail ontdekte Silvanovich wel een ernstige kwetsbaarheid. Met Visual Voicemail kunnen gebruikers op een e-mailachtige manier een lijst met berichten zien en zelf kiezen welke ze beluisteren of verwijderen. Door het versturen van een kwaadaardig sms-bericht was het mogelijk voor een aanvaller om Visual Voicemail met een opgegeven IMAP-server verbinding te laten maken waarna het mogelijk was om de iPhone IMAP-client aan te vallen. Een lek in deze software leidde uiteindelijk tot de mogelijkheid om willekeurige code op het toestel uit te voeren.

Het grootste aanvalsoppervlak bleek iMessage te bieden. Acht kwetsbaarheden gaven de onderzoekers de mogelijkheid om iPhones op afstand over te nemen door alleen het versturen van een bericht. Er was geen interactie van de gebruiker vereist. Volgens Silvanovich biedt iMessage een breed en lastig te enumereren aanvalsoppervlak. "Het aantal en de ernst van de remote kwetsbaarheden die we ontdekten was aanzienlijk. Het verkleinen van het remote aanvalsoppervlak van de iPhone zal waarschijnlijk de veiligheid ervan verbeteren", besluit de Google-onderzoeker.

Reacties (11)
08-08-2019, 11:51 door Anoniem
iMessage uitzetten dus.
08-08-2019, 11:55 door Anoniem
Nou en Apple producten ware altijd de veiligste die je maar kon kopen.
Tegen betaling van de hoofdprijs.
Kunnen we ook weer gewoon Microsoft en Linux producten gebruiken.
08-08-2019, 13:26 door Anoniem
Door Anoniem: iMessage uitzetten dus.

Begrijpend lezen is lastig, maar: "Alle tien de lekken zijn inmiddels door Apple gepatcht.", zo eindigt de eerste allinea!?
08-08-2019, 13:43 door Anoniem
Google doet zijn best om een belangrijke concurrent in verlegenheid te brengen,
en de consument profiteert ervan door toenemende veiligheid en privacy.

Prima. Zo hoort het.
08-08-2019, 16:02 door Anoniem
Door Anoniem: Google doet zijn best om een belangrijke concurrent in verlegenheid te brengen,
en de consument profiteert ervan door toenemende veiligheid en privacy.

Prima. Zo hoort het.

Goede reactie vind ik: helemaal mee eens!
08-08-2019, 16:44 door Anoniem
Door Anoniem: Google doet zijn best om een belangrijke concurrent in verlegenheid te brengen,
en de consument profiteert ervan door toenemende veiligheid en privacy.

Prima. Zo hoort het.

Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
08-08-2019, 23:01 door Anoniem
In welke IOS versie is dit dan geregeld? Of was dit allang bekend en pas een vrij gegeven bericht omdat de 'gaten' gedicht zijn.
09-08-2019, 09:16 door Anoniem
En android heeft hoeveel lekken?
09-08-2019, 10:23 door Anoniem
Door Anoniem:
Door Anoniem: Google doet zijn best om een belangrijke concurrent in verlegenheid te brengen,
en de consument profiteert ervan door toenemende veiligheid en privacy.

Prima. Zo hoort het.

Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.

Google onderzoekt op dezelfde manier Android. Alleen lukt het Google om de gaten binnen 90 dagen te dichten. Vaak omdat de onderzoekers ook aan kunnen geven hoe iets opgelost zou kunnen worden. Ze hebben namelijk toegang tot de code en kunnen desnoods zelf een CL (Change List) indienen.

Het staat de Google ontwikkelaars natuurlijk vrij om het probleem op een andere manier op te lossen. Alleen trek je dan de aandacht van het security team. Is de oplossing van de ontwikkelaar beter, dan leert het team ervan. Is hun oplossing beter, dan heeft de ontwikkelaar wat uit te leggen. Het kan zijn dat zijn oplossing het probleem ook oplost, maar dat hij bij zijn oplossing ook de impact op andere delen van zijn code meeneemt. Dat is een legitieme keuze.

Peter
09-08-2019, 10:53 door Anoniem
Door Anoniem:
Door Anoniem: Google doet zijn best om een belangrijke concurrent in verlegenheid te brengen,
en de consument profiteert ervan door toenemende veiligheid en privacy.

Prima. Zo hoort het.

Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.

Proest, Google moet eerst eens kijken naar die leveranciers van smartphones die het vertikken om Android te patchen.
Gewoon niet patchen binnen een vooraf gestelde termijn en je ben je Android licentie kwijt.
09-08-2019, 14:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Google doet zijn best om een belangrijke concurrent in verlegenheid te brengen,
en de consument profiteert ervan door toenemende veiligheid en privacy.

Prima. Zo hoort het.

Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.

Proest, Google moet eerst eens kijken naar die leveranciers van smartphones die het vertikken om Android te patchen.
Gewoon niet patchen binnen een vooraf gestelde termijn en je ben je Android licentie kwijt.

Google heeft een licentie waarbij je dat wel verplicht bent. Daarnaast is Android open source en kunnen de leveranciers gewoon hun eigen versie op hun toestellen zetten.

Trouwens. Als Google dergelijke dwangmiddelen gaat toepassen staan ze binnen no-time voor de rechter wegens misbruik van hun macht. Google kan zoiets op geen enkele wijze goed doen.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.