IOS-lekken geven toegang tot gevoelige informatie op vergrendelde iPhone
Kwetsbaarheden in Apples iOS maken het opnieuw mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone om 'gevoelige informatie' te stelen. Wat deze gevoelige informatie precies is laat Apple niet weten. Het bedrijf heeft updates uitgebracht om de problemen te verhelpen. iOS 18.1 en iPadOS 18.1 verhelpen meerdere kwetsbaarheden, waaronder een aantal die toegang tot 'gevoelige informatie' geven.
Een beveiligingslek in het iOS-onderdeel Accessibility zorgt ervoor dat een aanvaller met fysieke toegang tot een vergrendelde iPhone 'gevoelige gebruikersinformatie' kan bekijken, aldus de beknopte uitleg van Apple. De uitleg bevat geen verdere informatie over de aard van de kwetsbaarheid. Zo is onduidelijk of één van de Accessibility-opties moet zijn ingeschakeld. Verder blijkt dat afgeschermde content via kwetsbaarheden in zoekfunctie Spotlight en voorleesfunctie VoiceOver op het 'lock screen' zijn te bekijken. Details hoe dit precies in zijn werk gaat geeft Apple niet. Tevens is er een lek (CVE-2024-40851) in spraakassistent Siri verholpen dat het mogelijk maakt voor een aanvaller met fysieke toegang tot een iPhone om contactfoto's op een vergrendeld scherm te bekijken.
Naast kwetsbaarheden die vereisen dat een aanvaller fysieke toegang tot het toestel heeft, zijn er ook drie Siri-kwetsbaarheden verholpen (CVE-2024-44194, CVE-2024-40851 en CVE-2024-44278) waar apps die de gebruiker op de telefoon installeert misbruik van kunnen maken. De apps kunnen via de kwetsbaarheden in Siri toegang tot 'gevoelige gebruikersinformatie' krijgen. Of Siri hiervoor moet zijn ingeschakeld of uitgeschakeld laat Apple niet weten. Vorige maand en in juli kwam Apple ook al met updates voor meerdere Siri-kwetsbaarheden waar een aanvaller misbruik van kan maken. Gebruikers wordt aangeraden om te updaten naar iOS 18.1 of iPadOS 18.1, wat via de ingebouwde updatefunctie kan.
https://support.apple.com/en-gb/100100
zoals deze https://www.security.nl/posting/863254/Samsung+Galaxy+S24+bevat+vijf+lekken+die+remote+aanval+mogelijk+maken. Nog erger want remote, bij de Apple aanvallen moet je in ieder geval nog fysiek het device lang genoeg in handen hebben.
Overigens, dan zit alle software vol met backdoors of zou het gewoon zijn omdat software bedrijven geen aandacht besteden aan security en secure coding?
zoals deze https://www.security.nl/posting/863254/Samsung+Galaxy+S24+bevat+vijf+lekken+die+remote+aanval+mogelijk+maken. Nog erger want remote, bij de Apple aanvallen moet je in ieder geval nog fysiek het device lang genoeg in handen hebben.
deze keer,
En dan ook nog eens keer op keer hun eigen security niet op orde weten te hebben.
De vraag vanuit het dorpsplein is, wat doen ze dan met al dat geld?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
