Ernstig lek in sms-functie Iphone
Aanvaller kan afluisteren en locatie bepalen
03 juli 2009 | Janneke Scheepers
Apple verwacht later deze maand een patch klaar te hebben voor een kwetsbaarheid in de Iphone. Die staat hackers toe om op afstand de controle over het toestel over te nemen via sms. Dat heeft beveiligingsonderzoeker Charlie Miller donderdag gezegd tijdens een presentatie op de Syscan-conferentie in Singapore, meldt IDG News Service.
Het lek zit in de manier waarop de Iphone omgaat met sms-tekstberichten. Een aanvaller kan kwaadaardige code op de telefoon uitvoeren, die hij heeft gestuurd per sms. Zo'n berichtje is weliswaar beperkt tot 140 bytes, maar langere reeksen kunnen naar de telefoon worden gestuurd in de vorm van meerdere berichten, die dan automatisch worden samengevoegd.
Microfoon
Daardoor kunnen grotere programma's naar de Iphone worden gestuurd, volgens Miller. Op die manier kan een aanvaller van alles doen, zoals GPS gebruiken om de locatie van de telefoon te achterhalen, de microfoon aanzetten om conversaties af te luisteren, of het toestel inzetten voor een DDOS-aanval of botnet.
Bovendien zijn er kwetsbaarheden gevonden in de Iphone sms-functie die een aanvaller toegang geven als root-gebruiker. Dat is niet het geval bij de andere functies van de Iphone, zoals de browser. Hier krijgt een aanvaller enkel toegang tot de sandbox als hij een lek misbruikt, aldus Miller.
Mac OS X
Toch is de Iphone veiliger dan OS X op computers, zegt hij. Dat komt doordat de telefoon geen Adobe Flash en Java ondersteunt, slechts software draait die is goedgekeurd door Apple, speciale hardware heeft om de inhoud van het geheugen te beschermen, en applicaties in een sandbox draait.
Miller heeft met Apple afgesproken dat hij niet te veel details zal vrijgeven over de kwetsbaarheid. Aan het eind van de maand zal hij er meer over vertellen op de Black Hat-conferentie in Las Vegas.
bron: ZDNet
Nog meer op ZDNet »
To .be or not to .be
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Silent Hill - Downpour
Game
Na een ongeluk met een gevangenistransport kom je in het onheilspellende Silent Hill terecht. Wapens zijn schaars, dus zal je moeten improviseren om te overleven.
