Google-onderzoekers onthullen beveiligingsrisico’s voor iOS

Stay tuned, abonneer!

Twee leden van Project Zero, het beveiligingsteam van Google,  hebben details en  demo-code gepubliceerd voor vijf van de zes “interactionless” beveiligingslekken in iOS.

De zwakke punten kunnen via de iMessage-app op iPhones worden misbruikt. De zes beveiligingslekken werden overigens op 22 juli hersteld in iOS 12.4. Details over één van de kwetsbaarheden zijn niet naar buiten gebracht omdat patch 12.4 dit probleem nog niet volledig oplost.

Volgens Natalie Silvanovich, één van de onderzoekers, kunnen vier van de vijf onderzochte beveiligingslekken leiden tot het draaien van kwaadaardige code op een iOS-apparaat, zonder dat er interactie vanuit de gebruiker nodig is. Het enige wat cybercriminelen hoeven te doen is een bericht naar de telefoon van een slachtoffer te sturen, de kwaadaardige code wordt vanzelf uitgevoerd zodra de gebruiker het ontvangen item opent.

De vijfde en zesde bug geven aanvallers de mogelijkheid om gegevens uit het geheugen van apparaten te verkrijgen en bestanden van externe apparaten te lezen. Hoewel het altijd aan te raden is om beveiligingsupdates te installeren zodra ze beschikbaar zijn, betekent deze proof-of-concept-code dat gebruikers iOS 12.4 zo snel mogelijk moeten installeren om risico’s te voorkomen.

Informatie met hoge straatwaarde

ZDNet meldt dat informatie over dit soort zwakke punten meer dan een miljoen dollar kan opleveren op de zwarte markt, wat het totaal van deze informatie op een waarde van vijf miljoen zou brengen.

De bugs werden ontdekt door Silvanovich en collega-onderzoeker Samuel Groß. Volgens ZDnet houdt Silvanovich een presentatie over interactie-loze beveiligingszwaktes in iPhones op de Black Hat-conferentie, die volgende week in Las Vegas plaatsvindt.

“De presentatie verkent de externe, interactieloze aanvalsmogelijkheden bij iOS. Er wordt ingegaan op de mogelijkheid van kwetsbaarheden in SMS, MMS, Visual Voicemail, iMessage en Mail, en er wordt uitgelegd hoe je tooling kunt gebruiken om deze te testen. De presentatie bevat ook twee voorbeelden van kwetsbaarheden die met behulp van deze methoden zijn ontdekt”, zo valt te lezen in een samenvatting.