image

Onderzoekers weten iPhone X ook via browser te hacken

woensdag 14 november 2018, 10:31 door Redactie, 1 reacties

Onderzoekers zijn tijdens een internationale hackwedstrijd in Tokio erin geslaagd om een volledig gepatchte iPhone X ook via de browser te hacken. Gisteren werd al een aanval via wifi gedemonstreerd waardoor er code op het toestel kon worden uitgevoerd. Apple is ingelicht zodat het een beveiligingsupdate kan ontwikkelen. Wanneer deze patch zal verschijnen is nog onbekend.

De afgelopen twee dagen vond in Tokio Pwn2Own plaats, een door het Zero Day Initiative (ZDI) georganiseerde hackwedstrijd. Onderzoekers worden hierbij beloond voor het demonstreren van nieuwe kwetsbaarheden in smartphones en Internet of Things-apparaten. Op de tweede dag toonden onderzoekers van team Fluoroacetate hoe ze via een browseraanval code op de iPhone X konden uitvoeren. Hierdoor was het mogelijk om een eerder verwijderde foto van het toestel te achterhalen. De aanval leverde de onderzoekers 50.000 dollar op.

Vervolgens demonstreerden de onderzoekers een soortgelijke aanval tegen de Xiaomi Mi6. Wederom werd er via de browser een foto van het toestel gehaald. Deze hack werd met 25.000 dollar beloond. Team Fluoroacetate probeerde vervolgens een aanval via baseband tegen de iPhone X te demonstreren. Het ZDI liet weten dat het nog nooit een dergelijke exploit in het openbaar heeft gezien. De onderzoekers kregen de exploit echter niet binnen de gestelde tijd werkzaam.

Onderzoekers van MWR Labs sloten de dag af met een succesvolle browseraanval op de Xiaomi Mi6. Via de aanval werd er stilletjes een app op het toestel geïnstalleerd en konden er foto's van het toestel worden gehaald. Voor de demonstratie ontvingen de onderzoekers 25.000 dollar. Alle kwetsbaarheden die tijdens Pwn2Own zijn gedemonstreerd worden aan de betreffende fabrikanten doorgegeven, zodat die een update kunnen ontwikkelen. Voor het eerst konden onderzoekers tijdens Pwn2Own ook aanvallen tegen Internet of Things-apparaten laten zien, maar dit werd door niemand gedaan.

Reacties (1)
14-11-2018, 18:39 door Anoniem
Hierdoor was het mogelijk om een eerder verwijderde foto van het toestel te achterhalen.
Verwijderd of verwijderd?
De ene verwijdering is de andere niet.
Met de eerste verwijdering staat die foto nog 30 dagen in je prullenmand.
Met de tweede is ze echt weg en vermoedelijk helemaal definitief als je een keer in en uitlogt.

Daarnaast wordt niet duidelijk of dit nu ligt aan Safari, iOS12 of aan de iPhone zelf of aan alledrie tegelijk.
Werkt het ook op een iphone 7 met iOS10?
Maw, er zijn vele combinaties mogelijk en in de markt actief wat weer wat zegt over het mogelijke (on)bereik van de hack zoals nu algemeen gesuggereerd wordt.

https://en.wikipedia.org/wiki/List_of_iOS_devices#iPhone
https://en.wikipedia.org/wiki/IOS_version_history
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.