Nieuw beveiligingslek geeft iOS-apps ongeoorloofd toegang tot andere apps

Een beveiligingslek in iOS geeft apps van derden ongeoorloofd toegang tot data van andere apps, zoals foto's en het adresboek. Ook zou malware je geheugen en resources kunnen blokkeren.

Een pas ontdekt beveiligingslek in iOS zorgt ervoor dat apps zonder toestemming data van andere apps kunnen raadplegen. Feitelijk is dit niet mogelijk, omdat Apple met zogenaamde sandboxing ervoor zorgt dat apps onderling geen data kunnen raadplegen, zonder je uitdrukkelijke toestemming. Maar onderzoekers van de universiteit van Darmstadt ontdekten dat het toch mogelijk is. Ze werkten daarbij samen met onderzoekers in North Carolina (VS) en Boekarest (Roemenië).


Malware op iOS

Apple’s sandbox niet veilig genoeg

De onderzoekers ontdekten een manier om de sandbox van iOS te omzeilen. “We hebben bedenkelijke beveiligingslekken gevonden”, aldus onderzoeker Sadeghi. Via apps van derden was het volgende mogelijk:

  • De privacy-instellingen van de Contacten-app omzeilen.
  • Toegang tot gebruikersnamen en de mediabibliotheek met je foto’s en video’s.
  • Blokkeren van opslagruimte, waardoor opslag na het verwijderen van een kwaadaardige app niet meer wordt vrijgegeven.
  • Blokkeren van de toegang tot systeemresources, waardoor je bijvoorbeeld geen toegang meer hebt tot het adresboek.
  • Bekijken van gevoelige informatie, bijvoorbeeld wanneer een foto is gemaakt.

Malware zou gebruik kunnen maken van deze kwetsbaarheid. “Apple heeft snel op onze ontdekkingen gereageerd en de oplossingen met ons besproken”, aldus Sadeghi. In de volgende versie van iOS zou het probleem al zijn opgelost. “Toch blijven we desondanks van mening dat Apple zich te veel afschermt van samenwerking met academische onderzoekers en geen samenwerking nastreeft”, voegt hij eraan toe. Wel is Apple sinds kort gestart met een beloningsprogramma voor hackers, dat ethische hackers een leuke bijverdienste kan opleveren.

Bekijk ook

Apple kondigt beloningsprogramma voor hackers aan

Apple gaat hackers binnenkort belonen. Onderzoekers die door Apple uitgenodigd worden om mee te doen aan het Apple Security Bounty-programma, worden door Apple beloond voor het vinden van kwetsbaarheden.

Sandbox

De sandbox in iOS moet voorkomen dat apps zomaar toegang hebben tot het besturingssysteem en tot andere apps. Elke app van een externe partij krijgt een profiel toegewezen, waarin staat welke data de app mag raadplegen en welke acties het mag uitvoeren. De onderzoekers slaagden erin om de binair gecodeerde sandbox-profielen uit het besturingssysteem te halen en om te zetten naar een leesbare vorm. Op die manier konden ze een model maken hoe zo’n profiel eruit ziet. Vervolgens ontwikkelden ze een manier om met deze profielen geautomatiseerd te zoeken naar beveiligingslekken.

Via: NU.nl

Reacties: 13 reacties

Reacties zijn gesloten voor dit artikel.