Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

IOS-lek maakt omzeilen toegangscode iPhone mogelijk

maandag 7 maart 2016, 16:54 door Redactie, 10 reacties
Laatst bijgewerkt: 07-03-2016, 21:42

In iOS zijn verschillende kwetsbaarheden ontdekt waardoor een aanvaller met fysieke toegang tot een iPhone of iPad de toegangscode kan omzeilen en een update van Apple is nog niet beschikbaar. De lekken zijn aanwezig in iOS 9.0, 9.1 en 9.2.1 en werden door Vulnerability Laboratory ontdekt.

De kwetsbaarheden bevinden zich in links naar de Appstore, Buy More Tones en Weather Channel. Een aanvaller kan hier vervolgens via Siri, de evenementenkalender of de klok-app gebruik van maken. Zo kan een aanvaller via Siri bijvoorbeeld om een niet bestaande app vragen. Siri geeft als antwoord een link naar de Appstore. De aanvaller opent de link en krijgt een beperkt browservenster met verschillende apps te zien. Op dat moment is het via de startknop of Siri mogelijk om naar het startscherm te gaan.

In totaal hebben de onderzoekers vier scenario's uitgewerkt waarbij een aanvaller via het configuratiescherm of Siri een dergelijke aanval kan uitvoeren. "Een succesvolle aanval kan leiden tot ongeautoriseerde toegang tot het apparaat en het lekken van gevoelige gegevens zoals adresboek, foto's, sms, mms, e-mails, telefoon-app, mailbox, telefooninstellingen of toegang tot andere geïnstalleerde apps", aldus de onderzoekers.

Apple werd begin januari van dit jaar ingelicht, maar een update is nog niet beschikbaar. Om zich te beschermen adviseren de onderzoekers dat gebruikers de Siri-module permanent uitschakelen, alsmede de evenementenkalender en het openbare configuratiescherm. Daarnaast moeten ook de instellingen van de weer-app worden aangepast. In onderstaande video wordt de aanval gedemonstreerd.

Update

De website MacRumors meldt dat het niet om een kwetsbaarheid gaat, omdat de onderzoekers Siri activeren via een vingerafdruk die al op het toestel is geregistreerd. Tegenover Threatpost stelt een van de onderzoekers dat het probleem bij de standaardconfiguratie van iPhones en iPads speelt en nog steeds niet is opgelost. Via de Full Disclosure-mailinglist maakten de onderzoekers hun werk bekend. Daar is nog geen reactie op de beweringen verschenen dat het om misleiding gaat. Op Twitter maakten de onderzoekers hun werk ook bekend. Daar stelt een gebruiker dat de gedemonstreerde aanval niet op zijn toestel werkt, terwijl een ander claimt van wel.

Image

Google-tool voor beoordelen securityleveranciers open source
Consumentenbond: Tinder schendt privacy gebruikers
Reacties (10)
07-03-2016, 17:08 door Anoniem
Nou precies dit is wat de FBI wil,op deze manier maar de telefoon van de schutter hacken toch?.
Apple komt hoop ik dan binnenkort dan met ios 9.2.3 of zo waar deze lekken zijn gedicht.
Inmiddels zal dan de telefoon van de schutter wel toch ontgrendeld zijn.
07-03-2016, 17:09 door Anoniem
Zouden ze al naar de FBI gebeld hebben? :-)
07-03-2016, 17:10 door Anoniem
kan de FBI deze truc niet gebruiken op die telefoon van die terrorist, hoeven ze geen custom rom van Apple meer te hebben om de boel te ontsleutelen..
07-03-2016, 17:56 door Anoniem
Dit is een Hoax, tijdens de video wordt er bij het inloggen word de wijsvinger gebruikt ipv de duim.
07-03-2016, 18:47 door Anoniem
Apps openen voor je bent ingelogd, ik denk niet dat mensen die iets te verbergen hebben dit zo hebben ingesteld.
07-03-2016, 18:51 door donnerd
Deze melding is zo nep als de neten, meerdere iPhone en iPad gebruikers hebben dit getest en het werkt niet.
Staat o.a. Op tweeakters.net een update hierover.
07-03-2016, 21:07 door Anoniem
Geinig.

Voor een complete lijst van alle iOS versies met gelijke lekken, zie http://blog.dinosec.com/2014/09/bypassing-ios-lock-screens.html.
08-03-2016, 08:31 door Anoniem
Het is een hoax, dat werd gisteren avond laat al bekend. Voor meer informatie zie: http://tweakers.net/nieuws/109053/toegangscode-omzeilen-bij-iphone-blijkt-hoax.html
08-03-2016, 08:55 door P5ycH0
Snel hé, die fingerprint recognition...
08-03-2016, 09:37 door Anoniem
Als dit nep is dat zijn er nog wel een paar andere 'lekjes' die ze kunnen gebruiken

https://web.nvd.nist.gov/view/vuln/search-results?query=Apple+iOS&search_type=all&cves=on
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Welke messaging-app gebruik jij?

8 reacties
Aantal stemmen: 165
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter