Google ontdekte tien lekken om iPhones op afstand aan te vallen
Onderzoekers van Google hebben de afgelopen maanden tien kwetsbaarheden in iOS ontdekt die zijn te gebruiken om iPhones op afstand aan te vallen en in het ergste geval over te nemen, zonder dat hiervoor enige interactie van gebruikers is vereist. Alle tien de lekken zijn inmiddels door Apple gepatcht.
Dat laat Google-onderzoeker Natalie Silvanovich in een analyse weten. Ze besloot samen met onderzoeker Samuel Groß naar de de veiligheid van de iPhone te kijken. Eén van de redenen waren geruchten en berichten over kwetsbaarheden die aanvallers gebruikten om iPhones op afstand over te nemen. Er was echter beperkte technische informatie over deze beveiligingslekken beschikbaar. Het onderzoek van Silvanovich en Groß leverde verschillende ernstige kwetsbaarheden op die inderdaad voor dergelijke remote 'zero click' aanvallen zijn te gebruiken.
Zoals de naam al doet vermoeden gaat het hier om aanvallen die geen interactie van de gebruiker vereisen. De iPhone biedt verschillende aanvalsoppervlaktes om deze aanvallen uit te voeren, waaronder sms, mms, Visual Voicemail, e-mail en iMessage. Silvanovich besloot naar deze vijf communicatiemethodes te kijken, maar ontdekte geen beveiligingslekken in sms en mms. Een kwetsbaarheid in Mail maakte het alleen mogelijk om een denial of service te veroorzaken.
In Visual Voicemail ontdekte Silvanovich wel een ernstige kwetsbaarheid. Met Visual Voicemail kunnen gebruikers op een e-mailachtige manier een lijst met berichten zien en zelf kiezen welke ze beluisteren of verwijderen. Door het versturen van een kwaadaardig sms-bericht was het mogelijk voor een aanvaller om Visual Voicemail met een opgegeven IMAP-server verbinding te laten maken waarna het mogelijk was om de iPhone IMAP-client aan te vallen. Een lek in deze software leidde uiteindelijk tot de mogelijkheid om willekeurige code op het toestel uit te voeren.
Het grootste aanvalsoppervlak bleek iMessage te bieden. Acht kwetsbaarheden gaven de onderzoekers de mogelijkheid om iPhones op afstand over te nemen door alleen het versturen van een bericht. Er was geen interactie van de gebruiker vereist. Volgens Silvanovich biedt iMessage een breed en lastig te enumereren aanvalsoppervlak. "Het aantal en de ernst van de remote kwetsbaarheden die we ontdekten was aanzienlijk. Het verkleinen van het remote aanvalsoppervlak van de iPhone zal waarschijnlijk de veiligheid ervan verbeteren", besluit de Google-onderzoeker.
Tegen betaling van de hoofdprijs.
Kunnen we ook weer gewoon Microsoft en Linux producten gebruiken.
Begrijpend lezen is lastig, maar: "Alle tien de lekken zijn inmiddels door Apple gepatcht.", zo eindigt de eerste allinea!?
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Goede reactie vind ik: helemaal mee eens!
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
Google onderzoekt op dezelfde manier Android. Alleen lukt het Google om de gaten binnen 90 dagen te dichten. Vaak omdat de onderzoekers ook aan kunnen geven hoe iets opgelost zou kunnen worden. Ze hebben namelijk toegang tot de code en kunnen desnoods zelf een CL (Change List) indienen.
Het staat de Google ontwikkelaars natuurlijk vrij om het probleem op een andere manier op te lossen. Alleen trek je dan de aandacht van het security team. Is de oplossing van de ontwikkelaar beter, dan leert het team ervan. Is hun oplossing beter, dan heeft de ontwikkelaar wat uit te leggen. Het kan zijn dat zijn oplossing het probleem ook oplost, maar dat hij bij zijn oplossing ook de impact op andere delen van zijn code meeneemt. Dat is een legitieme keuze.
Peter
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
Proest, Google moet eerst eens kijken naar die leveranciers van smartphones die het vertikken om Android te patchen.
Gewoon niet patchen binnen een vooraf gestelde termijn en je ben je Android licentie kwijt.
en de consument profiteert ervan door toenemende veiligheid en privacy.
Prima. Zo hoort het.
Wat een onzin. Google onderzoekt veel meer dan alleen (directe) concurrenten, en geeft iedereen dezelfde voorwaarden: binnen 90 dagen posten we de details. Maar meer veiligheid krijgen we er wel door.
Proest, Google moet eerst eens kijken naar die leveranciers van smartphones die het vertikken om Android te patchen.
Gewoon niet patchen binnen een vooraf gestelde termijn en je ben je Android licentie kwijt.
Google heeft een licentie waarbij je dat wel verplicht bent. Daarnaast is Android open source en kunnen de leveranciers gewoon hun eigen versie op hun toestellen zetten.
Trouwens. Als Google dergelijke dwangmiddelen gaat toepassen staan ze binnen no-time voor de rechter wegens misbruik van hun macht. Google kan zoiets op geen enkele wijze goed doen.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.