Onderzoekers hacken iPhone via oplader
Onderzoekers hebben een oplader ontwikkeld waarmee het mogelijk is om stiekem malware op de laatste versie van Apple's iOS te installeren. De demonstratie zal tijdens de komende Black Hat conferentie in juli worden gegeven. Veel details zijn nog niet bekend, maar in de omschrijving van de lezing staat hoe iOS-apparaten zijn te hacken via een kwaadaardige oplader.
Eerst laten de onderzoekers de bestaande beveiligingsmechanismes zien die het installeren van willekeurige software moeten voorkomen, waarna wordt uitgelegd hoe deze beveiliging via de USB-functie is te omzeilen. Vervolgens demonstreren de onderzoekers hoe een aanvaller zijn software kan verbergen op dezelfde manier zoals Apple de eigen ingebouwde applicaties verbergt.
Oplader
Om de 'praktische toepassing' van de kwetsbaarheden te demonstreren hebben de onderzoekers via een BeagleBoard een kwaadaardige oplader gebouwd, genaamd 'Mactans'. De BeagleBoard hardware was specifiek gekozen om te laten zien hoe een onschuldig lijkende, maar in werkelijkheid kwaadaardige USB-oplader kan worden gemaakt.
De Mactans-oplader was in een korte tijd en met een klein budget in elkaar gezet. De onderzoekers zullen tijdens hun lezing ook aangeven wat een aanvaller kan doen die over voldoende middelen beschikt.
Als laatste krijgen gebruikers advies hoe ze zich kunnen beschermen en krijgt Apple advies op wat voor manier het deze aanvallen kan bemoeilijken. De aanval van de onderzoekers werkt tegen alle gebruikers, aangezien er geen enkele interactie is vereist en de iPhone in kwestie niet hoeft te zijn gejailbreakt.
En voor degene die zijn/haar oplader uitleent: 'dat doet ie anders nooit'.
Wel een coole aanvalstechniek.
En niet zo mooi voor de oplaadpunten in hotels e.d.
Bijvoorbeeld de techniek van een gehackte "Trojan" Mouse.
Al uit 2011 en aardig om te lezen is "Plug and Prey: Malicious USB Devices"
( www.irongeek.com/i.php?page=security/plug-and-prey-malicious-usb-devices )
Vraag blijft toch een beetje hoe je aan gemodificeerde hardware devices komt (relatiegeschenken?).
Malware die zich nestelt in usb devices met flash geheugen is weer een ander lastig (eveneens langer bestaand) probleem, daar dit meestal buiten het bereik van virusscanners valt en zich goed leent voor verspreiding van malware.
Wat je zou kunnen doen is nooit een vreemde oplader voor de iPhone te gebruiken en dus enkel je eigen laders. Hoewel dit een leuke en aantoonbare hack is, zal de oplossing nooit kunnen plaatsvinden, aangezien er altijd informatie kan worden uitgewisseld tussen de USB kabel en de iPhone.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
