"Apple heeft teveel vertrouwen in USB-verbinding iPhone"
De onderzoekers die volgende week tijdens het 23ste Usenix Security Symposium in San Diego zullen laten zien hoe ze door middel van besmette Windowscomputers een botnet van iPhones kunnen maken zeggen dat Apple teveel vertrouwen in de USB-verbinding van de iPhone heeft.
De onderzoekers demonstreerden vorig jaar ook al een aanval op de Apple App Store. Dit jaar zochten ze naar een andere manier om iPhones aan te vallen en kwaadaardige apps op het toestel te installeren. De aanvalsvector werd een besmette Windowscomputer waarop een iPhone-gebruiker zijn toestel aansluit. Dit was echter pas de eerste stap, aangezien er ook nog een manier moest worden gevonden om malware op het toestel te krijgen.
Installatie
Om een app uit de App Store te installeren vereist Apple dat een gebruiker op zijn account is ingelogd. Onderzoeker Tielei Wang en zijn team ontwikkelden een man-in-the-middle-aanval waardoor het mogelijk is om een kwaadaardige app op het aangesloten toestel te krijgen via het Apple ID van iemand anders. Zolang de app namelijk over een digitale handtekening van Apple beschikt hoeft het niet eens via de App Store te worden aangeboden, maar kan het ook van een andere plek afkomstig zijn.
Om apps buiten de App Store te kunnen installeren geeft Apple ontwikkelaarscertificaten uit. Deze certificaten zijn bedoeld voor ontwikkelaars die hun eigen applicaties intern willen verspreiden. Met deze certificaten kunnen applicaties worden gesigneerd. Het team van Wang ontdekte daarnaast een manier waarop ze stiekem een bestand op aangesloten iPhones kunnen zetten waardoor de zelfgesigneerde certificaten worden geaccepteerd. De gebruiker krijgt hierbij geen waarschuwing te zien.
Onzichtbaar
"Het hele proces kan worden uitgevoerd zonder dat de gebruiker dit weet", zegt Wang tegenover PC World, die dit als een kwetsbaarheid omschrijft. "We vinden dat Apple teveel vertrouwen in de USB-verbinding heeft." De onderzoekers zouden Apple over hun onderzoek hebben ingelicht, waarop het bedrijf maatregelen nam. Zo verschijnt er nu een waarschuwing als een iOS-apparaat voor de eerste keer op een computer wordt aangesloten. In de waarschuwing staat dat er alleen met betrouwbare computers verbinding moet worden gemaakt.
Zelfs als een aanvaller via deze methode malware op het toestel weet te krijgen staat Apple niet machteloos. Het kan namelijk ook de certificaten van ontwikkelaars intrekken en applicaties op het toestel op afstand uitschakelen. Een grootschalige aanval ligt misschien dan ook minder voor de hand. Een gerichte aanval op een paar gebruikers, waarbij de aanvallende partij weet wie erachter de computer zit, zou in dit geval mogelijk praktischer zijn.
Daar wordt dan vast alvast hard op gestudeerd door de FinFisher ontwikkelaars om de met vele verlangens vervulde overheidsklantjes spoedig van nieuwe mensenrechten passerende speeltjes te kunnen voorzien.
Sorry hoor maar probeer je nu intelligent over te komen ofzo door je omslachtige taalgebruik ?
http://www.sueddeutsche.de/digital/finfisher-entwickler-gamma-spam-vom-staat-1.1595253
google Translate
https://translate.googleusercontent.com/translate_c?depth=1&hl=en&ie=UTF8&prev=_t&rurl=translate.google.com&sl=auto&tl=nl&u=http://www.sueddeutsche.de/digital/finfisher-entwickler-gamma-spam-vom-staat-1.1595253&usg=ALkJrhgrFmXd2IEsn_7HkBAsj6FGurMqHA
pagina 2, de iphone
pagina 3, overheidssurveillance door dictaturen met finfisher
pagina 4, spyware gelijk aan wapenleveranties
Software met steeds nieuwe exploits / malware / social engineering functies, gemaakt om zoveel mogelijk in te zetten door overheden. Met het veel inzetten van deze software wordt de investering vanzelf lonend.
Zal de wereld er stukken beter van worden?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.