Beveiligingsonderzoeker Charlie Miller demonstreerde deze week hoe hij via kwaadaardige SMS-berichten Android telefoons en iPhones kan uitschakelen en overnemen, maar Apple heeft het lek nu gepatcht. Het probleem met de iPhone wordt veroorzaakt door de manier waarop het SMS-berichten verwerkt. Hierdoor raakt het geheugen corrupt en kan een aanvaller willekeurige code uitvoeren of het apparaat laten crashen. Hoewel Apple al zes weken geleden was ingelicht, kwam het pas gisterenavond met een update voor de mobiele telefoon. Om de aanval uit te voeren moet een aanvaller honderden SMS controleberichten sturen, die van normale SMS-berichten verschillen. De iPhone update is via Apple.com te downloaden.

Android
In het geval van mobiele telefoons met het Android besturingssysteem was het alleen mogelijk om de telefoon van het netwerk te gooien en niet over te nemen. Google verhielp vorige week de kwetsbaarheid, twee dagen nadat het op de hoogte was gesteld. Toch noemen de onderzoekers het lek in Android interessanter, omdat het mogelijk is een mobiele telefoon permanent verbinding met het netwerk te laten verliezen. Dit gebeurt alleen als er een PIN voor de SIMkaart is ingesteld. Het probleem is als de aanval is uitgevoerd en de telefoon zich herstart, de modem wordt gereset en daardoor ook de PIN. Pas als een gebruiker de PIN invoert kan hij weer gebeld worden en SMS-berichten ontvangen.

Stille aanval
Het gaat hier echter om een "stille aanval" waar de gebruiker niets van ziet of merkt. Hij of zij krijgt geen bericht van de kwaadaardige SMS en weet daardoor ook niet dat verbinding met het netwerk verbroken is. "De enige manier om dit te controleren is om te kijken of de SIMkaart nog gelockt is", aldus Collin Mulliner en Charlie Miller die hun werk tijdens de Black Hat conferentie lieten zien. Ook Windows Mobile telefoons zijn kwetsbaar, maar een aanval daarvoor is nog in de maak. Het volledige onderzoek van Mulliner en Miller is hier te downloaden.