Nog geen patch voor ernstig sms-lek Iphone
Hackers demonstreren exploit
30 juli 2009 | Janneke Scheepers
Er is nog geen patch voor het ernstige sms-lek in de Iphone, ondanks dat Apple hier zes weken geleden al van op de hoogte is gesteld. Dat zeggen de onderzoekers Collin Mulliner en Charlie Miller (foto). Zij ontdekten dat ze de controle over de Iphone kunnen overnemen via reeksen sms-berichten met kwaadaardige code.
Het tweetal heeft de exploit woensdag op de Black Hat-conferentie gedemonstreerd op de Iphone van CNet-blogger Elinor Mills. Zij vertelt op onze Amerikaanse zustersite wat er gebeurde.
"Terwijl ik via de telefoon praatte met Charlie Miller, stuurde zijn partner Colin Mulliner me een sms-bericht. De ene minuut sprak ik nog met Miller; de volgende minuut was mijn telefoon dood. Na een paar seconden kwam het toestel terug tot leven, maar ik kon geen gesprekken meer starten of ontvangen tot ik herstartte."
Onderzoekers Collin Mulliner en Charlie Miller (Foto: Elinor Mills/CNet)
Geheugencorruptiefout
Het lek dat deze aanval mogelijk maakt, is een ernstige geheugencorruptiefout in de manier waarop de Iphone omgaat met sms-berichten. Er is geen patch. Wel is Apple zo'n zes weken geleden van het probleem op de hoogte gesteld, volgens Miller. Hij is beveiligingsonderzoeker bij Independent Security Evaluators.
Een aanvaller kan het lek uitbuiten om te bellen, data te stelen, de microfoon aan te zetten, GPS te gebruiken, sms-berichten te sturen, eigenlijk alles te doen wat de eigenaar ook kan met zijn Iphone. Hij heeft voor zijn aanval enkel het telefoonnummer van het slachtoffer nodig.
Eenmaal tot de telefoon van het slachtoffer doorgedrongen, kan de hacker een sms sturen naar iedereen in het adresboek en de aanval van telefoon tot telefoon verspreiden.
Android
Afgelopen voorjaar demonstreerde beveiligingsbedrijf Trust Digital een vergelijkbare aanval genaamd Midnight Raid Attack. Daarbij wordt eveneens een sms-bericht naar een telefoon gestuurd. Na ontvangst wordt automatisch een webbrowser geopend en bezoekt de telefoon een website met malware.
Recenter zijn ook Android-gebaseerde telefoons vatbaar gebleken voor een sms-aanval. Hackers waren in dit geval echter niet in staat om de controle over te nemen. Wel konden ze de toestellen tijdelijk van het netwerk gooien, volgen Mulliner, die promoveert aan de Technische Universiteit Berlijn.
Google heeft het lek vorige week gepatcht. Dat was zo'n twee dagen nadat het bedrijf van het probleem op de hoogte was gesteld.
Related Partner info »
Aandachtspunten bij aanschaf van een mobiele telefoon
12/04/2012 | pressrelease | Partner info : Vodafone
Apple presenteert nieuwe iPad
11/04/2012 | pressrelease | Partner info : Vodafone
Vernieuwingen die de iPhone ons heeft gebracht
29/03/2012 | pressrelease | Partner info : Vodafone
Nog meer op ZDNet »
To .be or not to .be
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Silent Hill - Downpour
Game
Na een ongeluk met een gevangenistransport kom je in het onheilspellende Silent Hill terecht. Wapens zijn schaars, dus zal je moeten improviseren om te overleven.
