Demo van Metasploit leidt tot verontruste reacties

Over Metasploit hebben we al vaker iets geschreven, het tool van H.D. Moore waarmee je volledige controle over een iPhone kunt krijgen. Maar blijkbaar wordt het veel beangstigender als iemand het ook nog even in een filmpje demonstreert. De security consultant op de website van Fast Company laat zien hoe je via een website een programma kunt installeren, waarna je vervolgens via Terminal toegang krijgt tot de iPhone. Het laat nog maar eens zien, dat het besluit van Apple om alle applicaties met rootrechten te laten draaien, toch niet zo’n goed idee was.

Dankzij Metasploit krijg je toegang tot e-mail, de lijst van gebelde nummers, voicemail en meer. Met de SDK die vanaf februari uitkomt zal dit voor een deel worden opgelost: met de SDK kun je sandboxed applicaties maken die – zoals de naam al aangeeft – in een zandbak draaien en geen toegang hebben tot de rest van de processen op de iPhone. Gizmodo denkt dat UNIX-specialist Rick Farrow in het filmpje gebruikmaakt van de TIFF-exploit uit firmwareversie 1.1.1. Daarover zouden we niet meer ongerust hoeven te zijn, want met de 1.1.2 patch van Apple of met Jailbreakme kun je dat lek immers dichten. Leuk bedacht, maar het verandert natuurlijk niets aan de situatie dat veel mensen nog steeds met firmware 1.1.1 werken en het probleem dat processen met volledige rootrechten draaien is daarmee ook nog niet opgelost.

Het complete verhaal is te vinden op Fast Company en heeft bij verschillende websites (waaronder het eerder genoemde Gizmodo) nogal verontruste reacties teweeg gebracht. Maar misschien zijn mensen niet zozeer geschrokken van de hack zelf, als wel van de priemende ogen van de beveiligingsconsultant.