Nieuws
image

IOS-lekken geven toegang tot gevoelige informatie op vergrendelde iPhone

maandag 28 oktober 2024, 17:29 door Redactie, 9 reacties
Laatst bijgewerkt: 29-10-2024, 13:52

Kwetsbaarheden in Apples iOS maken het opnieuw mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone om 'gevoelige informatie' te stelen. Wat deze gevoelige informatie precies is laat Apple niet weten. Het bedrijf heeft updates uitgebracht om de problemen te verhelpen. iOS 18.1 en iPadOS 18.1 verhelpen meerdere kwetsbaarheden, waaronder een aantal die toegang tot 'gevoelige informatie' geven.

Een beveiligingslek in het iOS-onderdeel Accessibility zorgt ervoor dat een aanvaller met fysieke toegang tot een vergrendelde iPhone 'gevoelige gebruikersinformatie' kan bekijken, aldus de beknopte uitleg van Apple. De uitleg bevat geen verdere informatie over de aard van de kwetsbaarheid. Zo is onduidelijk of één van de Accessibility-opties moet zijn ingeschakeld. Verder blijkt dat afgeschermde content via kwetsbaarheden in zoekfunctie Spotlight en voorleesfunctie VoiceOver op het 'lock screen' zijn te bekijken. Details hoe dit precies in zijn werk gaat geeft Apple niet. Tevens is er een lek (CVE-2024-40851) in spraakassistent Siri verholpen dat het mogelijk maakt voor een aanvaller met fysieke toegang tot een iPhone om contactfoto's op een vergrendeld scherm te bekijken.

Naast kwetsbaarheden die vereisen dat een aanvaller fysieke toegang tot het toestel heeft, zijn er ook drie Siri-kwetsbaarheden verholpen (CVE-2024-44194, CVE-2024-40851 en CVE-2024-44278) waar apps die de gebruiker op de telefoon installeert misbruik van kunnen maken. De apps kunnen via de kwetsbaarheden in Siri toegang tot 'gevoelige gebruikersinformatie' krijgen. Of Siri hiervoor moet zijn ingeschakeld of uitgeschakeld laat Apple niet weten. Vorige maand en in juli kwam Apple ook al met updates voor meerdere Siri-kwetsbaarheden waar een aanvaller misbruik van kan maken. Gebruikers wordt aangeraden om te updaten naar iOS 18.1 of iPadOS 18.1, wat via de ingebouwde updatefunctie kan.

Reacties (9)
Reageer met quote
28-10-2024, 17:36 door Anoniem
Lekken of ontdekte back doors?
Reageer met quote
28-10-2024, 17:37 door Anoniem
Ook een update voor iPadOS iOS 17.7 voor de wat oudere apparaten is uitgekomen:

https://support.apple.com/en-gb/100100
Reageer met quote
28-10-2024, 18:31 door Anoniem
mAaR dE IpHoNe dAtA iS tOcH vErSlEuTeLd eN sUpEr vEiLig ???
Reageer met quote
28-10-2024, 19:25 door Anoniem
Zojuist zijn ook iOS 17.7.1 en iPadOS 17.7.1 verschenen. Deze bevatten ook security-updates.
Reageer met quote
29-10-2024, 05:04 door Drs Security en Privacy
Zo zie je maar weer, het maakt niet uit welk mobiele OS je hebt ze zijn allemaal even lek, kwetsbaar en niet op basis van security gebouwd.
zoals deze https://www.security.nl/posting/863254/Samsung+Galaxy+S24+bevat+vijf+lekken+die+remote+aanval+mogelijk+maken. Nog erger want remote, bij de Apple aanvallen moet je in ieder geval nog fysiek het device lang genoeg in handen hebben.
Reageer met quote
29-10-2024, 05:06 door Drs Security en Privacy
Door Anoniem: Lekken of ontdekte back doors?
Als het backdoors zouden zijn geweest, hadden ze wel wat slimmers bedacht dan fysieke toegang nodig.
Overigens, dan zit alle software vol met backdoors of zou het gewoon zijn omdat software bedrijven geen aandacht besteden aan security en secure coding?
Reageer met quote
29-10-2024, 10:03 door Anoniem
Zodra iemand fysieke toegang heeft tot jouw device, is het jouw device niet meer.
Reageer met quote
29-10-2024, 10:54 door _R0N_
Door Drs Security en Privacy: Zo zie je maar weer, het maakt niet uit welk mobiele OS je hebt ze zijn allemaal even lek, kwetsbaar en niet op basis van security gebouwd.
zoals deze https://www.security.nl/posting/863254/Samsung+Galaxy+S24+bevat+vijf+lekken+die+remote+aanval+mogelijk+maken. Nog erger want remote, bij de Apple aanvallen moet je in ieder geval nog fysiek het device lang genoeg in handen hebben.

deze keer,
Reageer met quote
29-10-2024, 10:58 door Anoniem
Zulke bedrijven zijn innovatieremmers. Hun spullen zijn zo duur dat gebruikers menen dat ze met de aanschaf het hele internet betaald hebben en dat dat ook nog eens gratis en perfect moet functioneren. Het glimt en ziet er mooi uit, elk jaar weer een nieuw model, maar het zijn geldstofzuigers die poen en monopolie zoeken in plaats van mensen blijer te maken dan gisteren.

En dan ook nog eens keer op keer hun eigen security niet op orde weten te hebben.

De vraag vanuit het dorpsplein is, wat doen ze dan met al dat geld?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure