Google beschrijft hoe iPhones op afstand waren over te nemen
Onderzoekers van Google ontdekten vorig jaar verschillende kwetsbaarheden in iOS waarmee het mogelijk was om iPhones op afstand en zonder interactie van gebruikers over te nemen. Eén van deze aanvallen, waarvoor Apple afgelopen augustus een eerste update uitbracht, heeft het techbedrijf nu in detail beschreven.
De kwetsbaarheid die de aanval mogelijk maakte bevond zich in iMessage. Om de aanval uit te voeren was het voor een aanvaller alleen nodig geweest om over het Apple ID van de gebruiker te beschikken (telefoonnummer of e-mailadres). Door het versturen van alleen een kwaadaardig bericht was de iPhone van het doelwit binnen een paar minuten over te nemen. Hierna had de aanvaller wachtwoorden, 2FA-codes, e-mails, sms en andere berichten en data kunnen stelen. Ook hadden de microfoon en camera op afstand kunnen worden ingeschakeld.
"Het onderzoek werd vooral gedreven door de volgende vraag: is het met alleen remote geheugencorruptielek mogelijk om zonder verdere kwetsbaarheden en enige interactie van de gebruiker willekeurige code op afstand uit te voeren? Dat is inderdaad mogelijk, zoals we in dit blog laten zien", aldus Samuel Gross van Google.
Beveiligingsupdate
Apple werd op 29 juli over de kwetsbaarheid geïnformeerd. Op 26 augustus verscheen met iOS 12.4.1 een eerste beveiligingsupdate van Apple die ervoor zorgde dat de kwetsbare code niet via iMessage bereikbaar was. Met de release van iOS 13.2 op 28 oktober werd het beveiligingslek volledig verholpen. Tevens stelt Gross dat Google verschillende suggesties aan Apple heeft gedaan om soortgelijke aanvallen in de toekomst lastiger te maken.
Naast het beschrijven van de aanval heeft Google ook een proof-of-concept exploit beschikbaar gemaakt voor iOS 12.4. Om misbruik tegen te gaan krijgt het slachtoffer tijdens de aanval verschillende meldingen te zien. Daarnaast zorgt de exploit niet voor het uitvoeren van shellcode, waardoor die lastiger met andere kwetsbaarheden is te combineren.
Toch kan een ervaren aanvaller de exploit van Google aanpassen, zo waarschuwt Gross. Hij merkt daarbij op dat ervaren aanvallers waarschijnlijk al over deze mogelijkheid beschikken, bijvoorbeeld doordat ze zelf de kwetsbaarheid hebben gevonden of de patches van Apple hebben geanalyseerd.
Ze zijn maar in één opzicht 100% betrouwbaar: je kan er op vertrouwen dat ze kunnen worden gehackt.
Is het zo rustig op Security.NL dat we maar oud nieuws gaan oprakelen?
Is het zo rustig op Security.NL dat we maar oud nieuws gaan oprakelen?
Niet alle lezers van security.nl zullen bij de divisie van Apple werken die geinformeerd was.
Dat is ook niet waar het artikel over gaat, maar over het feit dat het nu publieke kennis is door Google.
Ze zijn maar in één opzicht 100% betrouwbaar: je kan er op vertrouwen dat ze kunnen worden gehackt.
Ik zou wel eens willen weten waarom de FBI alleen bij Apple aanklopt om mee te werken om een iPhone te unlocken/ontsleutelen en nooit bij een Android fabrikant?
Is het zo rustig op Security.NL dat we maar oud nieuws gaan oprakelen?
Er staat een link bij dat dit NU in detail wordt beschreven. Dus een oude kwetsbaarheid die nu verder toegelicht wordt.
Je kan zo'n toestel onvoldoende afschermen - tenzij je de smartphone zelf lokaal gaat gaan gebruiken over wifi - en zo naar een gateway gaat die alle connectiviteit voor u gaat regelen. Dat is toch waanzinnig?
Dan is iOS en de smartphones van Google nog het betere werk - wat met de lower-end phones die zo weinig updates krijgen. Mijn asus-tablet van een jaar of vier oud - heeft letterlijk 0 updates/upgrades ontvangen! 0!
Waar blijft de wetgever met regelgeving rond dat soort speelgoed - graag minimaal 3 jaar gratis volledige updates/upgrades - en tot 5 jaar verplicht tegen een bedrag dat max. 1/10e van de aanschafprijs mag zijn zoals gebruikelijk is voor onderhoudscontracten. Moeilijk kan dat toch niet zijn zoiets in wetteksten te gieten en dat waterdicht te doen!
Wie duikelt hier eens in om het antwoord naar boven te halen?
Ze zijn maar in één opzicht 100% betrouwbaar: je kan er op vertrouwen dat ze kunnen worden gehackt.
Net als ieder ander device dat aan het netwerk hangt. Procentueel is het aantal besmette telefoons, of dat nu Android of iPhone is, lager dan andere systemen.
Status.
Net als je meer iPhones ziet bij mensen met een hogere functie, gebruiken criminelen procentueel vaker een iPhone. Uitzonderingen zijn degenen die een PGP-Android toestel kopen, omdat ze veiliger willen communiceren. Maar dan nog hebben ze vaak een iPhone voor normaal gebruik.
Peter
Status.
Net als je meer iPhones ziet bij mensen met een hogere functie, gebruiken criminelen procentueel vaker een iPhone. Uitzonderingen zijn degenen die een PGP-Android toestel kopen, omdat ze veiliger willen communiceren. Maar dan nog hebben ze vaak een iPhone voor normaal gebruik.
Status is onzin, een crimineel/terrorist zal altijd op de veiligste manier willen communiceren en dan moet je niet bij Android zijn.
Zo simpel is het.
Het is veel veiliger om die nieuwe iphone niet aan te schaffen, maar dat geldt voor alle smartphones (behalve de Librem 5 dan natuurlijk).
Er bestaan toestellen met lekken of met heel veel lekken, vandaar mijn keuze voor iOS.
Het is veel veiliger om die nieuwe iphone niet aan te schaffen, maar dat geldt voor alle smartphones (behalve de Librem 5 dan natuurlijk).
Zijn ze al begonnen met uitleveren dan?
Is het al aangetoond dat het toestel veiliger is dan "de andere"?
Waar kan ik ergens gebruikers ervaringen lezen?
Met paard en wagen vielen er ook minder doden in het verkeer.
Je kan zo'n toestel onvoldoende afschermen - tenzij je de smartphone zelf lokaal gaat gaan gebruiken over wifi - en zo naar een gateway gaat die alle connectiviteit voor u gaat regelen. Dat is toch waanzinnig?
Dan is iOS en de smartphones van Google nog het betere werk - wat met de lower-end phones die zo weinig updates krijgen. Mijn asus-tablet van een jaar of vier oud - heeft letterlijk 0 updates/upgrades ontvangen! 0!
Waar blijft de wetgever met regelgeving rond dat soort speelgoed - graag minimaal 3 jaar gratis volledige updates/upgrades - en tot 5 jaar verplicht tegen een bedrag dat max. 1/10e van de aanschafprijs mag zijn zoals gebruikelijk is voor onderhoudscontracten. Moeilijk kan dat toch niet zijn zoiets in wetteksten te gieten en dat waterdicht te doen!
Ik bedoel er zijn toestellen waar ik nog geen weet van heb en denk je nou echt dat de overheid alles weet van alle toestellen op de markt?
Dit is meer een geval van consumenten mogen eens wat minden lui zijn en kijken naar telefoons die wel updates krijgen (dat kan ook met Android)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
