Je iPhone is te kraken met een iMessagebericht

iMessageHet lijkt er op dat je iPhone is te kraken met een simpel iMessagebericht. Daar komen geen klikken of verdachte koppelingen aan te pas of het anderszins (onnozel) binnenhalen van kwalijke progjes. Die onthulling op het Black Hat-e-krakerscongres kwam van Natalie Silvanovich die verbonden is aan het Zeroproject van Google.

Volgens Silvanovich zitten er in dat programma zogeheten interactieloze fouten die kunnen worden misbruikt om toegang te krijgen tot de Apple-foon. Apple zou al zes van die fouten hebben gerepareerd, maar daarmee zou het probleem nog niet zijn opgelost. “Het is het soort fouten waardoor je code kunt uitvoeren om, bijvoorbeeld, bij je informatie te komen. In het ergste geval kunnen die fouten de gebruikers ‘pijn’ doen.”

Silvanovich raakte geïnteresseerd in die interactieloze fouten toen bekend werd dat je WhatsApp kon misbruiken door iemand te bellen. Dat werkte ook als de gebruiker niet opnam. Bij sms, mms en visuele stempost ving ze bot. Ze had gedacht dat iMessage van Apple wat steviger in elkaar zat maar toen ze de omgekeerde ontwerptechniek gebruikte op zoek naar fouten vond zij en haar medeonderzoeker snel een reeks bruikbare lekken. Dat zou kunnen liggen aan de complexiteit van iMessage, maar is daar geen verontschuldiging voor.
De interessantste kwetsbaarheid was een fout die het de aanvaller mogelijk maakte informatie uit berichten te halen. Hijzij kon een speciaal tekstbericht naar het doelwit sturen en de iMessage-server stuurde dan gebruikersgegevens terug. Het slachtoffer hoefde daarvoor niet eens de toepassing te openen.
Normaal blokkeert iOS, het besturingssysteem, zo’n aanval, maar dat gebeurde hier niet. Andere lekken maakten het mogelijk kwaadaardige progjes op het toestel te zetten, alweer met alleen door een bericht te versturen.

Populair

Die interactieloze fouten zijn hoogst populair bij al of niet staatsgesteunde e-krakers. Makkies voor ze. Op de markt zouden die zes fouten miljoenen hebben opgebracht (dergelijke fouten worden verhandeld). Silvanovich: “Dit soort fouten werd lang niet openbaar gemaakt. Bij programma’s als iMessage kan een hoop mis gaan. De afzonderlijke fouten zijn simpel te repareren maar je vindt nooit alle fouten en elke bibliotheek die je gebruikt wordt een potentiële foutenbron. Die problemen zijn lastig op te lossen.” Overigens geeft ze toe dat over het geheel genomen de veiligheid van iMessage groot is.
Ze is ook aan het zoeken naar dit soort interactieloze fouten in Android, maar tot op heden heeft ze die niet gevonden. Ze is er echter zeker van dat je dit soort fouten overal kunt vinden. Ze vond ze in WhatsApp, in FaceTime (ook Apple) en het videoconferentieprotocol webRTC. “Wellicht dat dit over het hoofd is gezien. Er is veel aandacht voor cryptografie maar die heeft geen zin als je programma aan de ontvangkant fouten bevat.” En het vervelende is dat de gebruiker weinig anders kan doen dan zijnhaar toestel constant bij te werken.

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.