Safari-lek laat iPhone-inbraak toe

Ook Mac en Windows zijn kwetsbaar

23 juli 2007 | Jamie Biesemans Een zwakheid in de Safari-browser zou hackers de kans bieden om gegevens die op een iPhone staan te stelen. Dat claimen onderzoekers van Independent Security Evaluators (ISE). Apple heeft nu tot 2 augustus de tijd om het probleem op te lossen. Daarna stellen de beveiligingsexperts hun bevindingen voor aan het grote publiek, op de BlackHat-conferentie in Las Vegas.

Volgens ISE-experts Charlie Miller, Jake Honoroff en Joshua Mason kan het lek in de iPhone-versie van Safari uitgebuit worden door code te verbergen in een webpagina. Een aanvaller zou zo'n malafide pagina op verschillende manieren kunnen aanbieden: door de code te verbergen op een slecht geconfigureerd forum, door een link per mail of sms naar een iPhone-gebruiker te sturen, of - en dat is wat moeilijker - door een draadloos toegangspunt te kapen.

De security-experts hebben zelf code geschreven om de kwetsbaarheid te demonstreren. Hun conceptprogramma leest de log van de sms-berichten, de inhoud van het adresboek, de telefoongeschiedenis en voicemaildata, en stuurt deze allemaal door naar de aanvaller. Maar volgens de onderzoekers staat er geen rem op wat een echte iPhone-worm zou kunnen. Het zou bijvoorbeeld mogelijk zijn om het geluid van een telefoongesprek op te nemen en dit door te sturen, denken de drie experts.

Tot Apple een patch uitbrengt, kunnen iPhone-bezitters weinig meer doen dan oppassen bij het surfen. Een lichtpunt: een oplossing komt misschien heel snel. Honoroff, Mason en Miller hebben Apple niet enkel ingelicht over het probleem, maar meteen ook een uitweg voorgesteld.

De ISE-onderzoekers veroorloven zich op hun weblog ook een streepje kritiek op Apple. Ze beweren dat de fabrikant zich bij het ontwerpen van beveiligingsmaatregelen voor de iPhone vooral concentreerde op het veiligstellen van zijn inkomstenbronnen en niet op het beveiligen van gegevens van de gebruiker. Zo maakte Apple het heel moeilijk om beltonen te installeren, maar is er geen beveiligde ruimte voor applicaties, luidt het.

Het lek dat het drietal beschrijft, is overigens ook present in de Mac- en Windows-versies van Safari. De onderzoekers zijn echter niet zeker of het daar even gemakkelijk te misbruiken is.

 

Lees meer artikels over : safari, iphone, apple security

bron: ZDNet