Een beveiligingsonderzoeker heeft twee beveiligingslekken openbaar gemaakt nadat Apple hier maar geen aandacht aan heeft besteed. Beiden hebben ze met het internet, en vooral de Mail-applicatie te maken.
om dit nou direct een beveiligingslek te noemen.. Het is sowieso niet verstandig om mailtjes te openen van afzenders die je niet kent en links in die mailtjes volgen al helemaal niet!
Dit zijn niet zozeer lekken in de software maar in de interface.
Iphone user
een pixel die automatisch wordt geopend omdat de iphone het een afbeelding vind natuurlijk wel het is geen link waar je op moet klikken!
zo zijn er wel meer kleine foutjes in het toestel aanwezig
misschien kent iemand Picasa van google (een webalbum faciliteit) op een normale pc kun je een map van meer dan 300 afbeeldingen probleemloos in je browser laden , Bij de iphone is er schijnbaar een beperking van maar 100 afbeeldingen! Heel vreemd ook al heb je meer als 300 pics in je album hij laat er echt maar 100 zien.
wel leuk dat al dit soort kinder ziektes nu aan het licht komen en hopelijk doen ze met de meeste dingen iets bij een aanstaande software update!
Groetjes
een tevreden Iphone gebruiker
Tom
Ik vind het een beetje ver gezocht..
Jru
Het zijn wel beveiligingslekken te noemen, of ze nu in de interface zitten of ergens anders. Het kan je iig een hoop rotzooi op leveren… En laten we eerlijk zijn, iedereen heeft weleens een spam mailtje geopend want af en toe weten ze het zo te brengen dat je denkt, dat is niet echt, maar het zou kunnen . . . .
Jru
Daarbij overigens, wat als je denkt naar facebook te gaan, inlogt en blijkt niet op facebook te zitten en je account is geript?
ikkieman
Maar zo blijf je bezig. Net als een smsdienst waar je je voor kan aanmelden door middel van een 0800 nummer bellen waar achter je een smsdienst kunt hangen van bijvoorbeeld €5 per maand. Op die manier kun je wel bezig blijven.
Mike
“een onzichtbare pixel achterhalen of de e-mail is gelezen ”
Hoe moet ik me dit voorstellen :S
Ruud Boon
Ik noem die geen beveilingingslekken. Traceren doormiddel van een transparante pixel is iets wat is webmail vaak ook word toegestaan. Niet echte en lek maar meer een keuze. Dat je de link niet ziet heb je bij normale hyperlinks ook. beetje ver gezocht dus.
Tevens vind het jammer dat het ook gepost word als lek hiermee word de indruk gewekt dat de iphone een onveilig apparaat is.
De mailclient haalt het plaatje op. Normaal is dat een links als bijvoorbeeld https://www.iculture.nl/wp-content/themes/iPhoneclub/images/header-backg.jpg.
Maarrrr zo’n niet zichtbare pixel wordt ipv. met een gewone link opgehaald bij een unieke link die aan je email adres is gekoppelt. Oftewel, als jouw pixel is gedownload weten zij dat het email adres werkt en het gelezen wordt omdat die pixel geladen is geweest… En dan is het een kwestie van spammen omdat je weet dat het aankomt op een geldig email adres.
Het is niet zo dat iPhone dan een onveilig apparaat is, maar dit is een lek omdat het wel spam kan bevorderen… Overigens mocht er een serieuze lek gevonden worden dan is dat url gedoe wel kwalijk omdat het wellicht dan de lek kan exploiteren…
Dus iPhone veilig? Zover we weten wel, maar mocht er iets ontdekt worden dan zijn deze 2 lekjes wel kwalijker dan voorheen aangenomen.
Jru
@ikkieman –
Zover ik weet is het door de opta verboden om een sms dienst te starten middels een telefoongesprek. Het is dus nodig om een sms dienst te starten via een sms naar het dienstnummer…
Nms
Volgens mij moet ik toch echt afbeeldingen (bijlagen) eerst aanklikken alvorens ze geladen worden.
Of wordt er gedoeld op afbeeldingen verwerkt in de opmaak van een formulier?
roger6666
Zijn inderdaad 2 stomme fouten dan. Trieste fanboys die dit bagatelliseren, zeker zo’n linkspoof.
HadjeMijMaar
De aluminium petjes worden weer alom opgezet.
Noname001
De belangrijke emailprogs en webmail laden standaard geen plaatjes in HTML opgemaakte mail. En daar is een goede reden voor. Onbegrijpelijk dat de iPhone geen mogelijkheid biedt om in te stellen. Ook het tweede lek, verborgen links, is een serieus gevaar. Gewone mensen zien misschien geen kwaad maar hackers weten hier wel raad mee.
Apple moet hier zeker iets mee gaan doen.
Liese
Blijf vooral zelf altijd opletten en nadenken, dan zijn de helft van de lekken en virussen al de wereld uit. Immers ben je zelf de grootste lek en virus voor je pc (of alleen lek voor de mac en iphone)…
frank
lekker boeien. Druk je op zo’n link in je mail, gaat er een venster open in Safari met daarin de hele url. Kan je nog mooi op stop drukken.
frank
… Trouwens, ik snap eigenlijk ook niet waarom het een beveiligingslink is, je kan dus zo’n link lang ingedrukt houden en dan zien waarheen de url gaat, dat is dan toch een vorm van beveiliging… Meestal zijn het al mailtjes waarbij iets al niet lijkt te kloppen. Daarnaast is het enige wat ze met deze methode kunnen doen is het checken of je email actief is, vervelend maar niet onveilig. Daarnaast heeft de mail applicatie op je Mac hetzelfde probleem en staat bij Safari als standaard de status balk onderin ook uit, dus dan is eigenlijk de Mac ook onveilig.
Van het plaatjes laden ia wel onhandig ja, vooral in je buitenland waar je wel je mail wilt maar niet alle vormgeving van nieuwsbrieven e.d
Trouwens Is dit bij windows mobile dan wel beveiligd, of leverde dat niet genoeg nieuwswaarde op voor de onderzoeker?
Mindreaver
Ik vind meneertje Aviv Raff nou niet echt geniaal en ik begrijp ook waarom Apple er geen aandacht aan heeft besteed. Dit soort dingen kan je geen beveiligingslek noemen.
Boring dus, niet het vermelden waard.
InternetRebel
@Frank: In het artikel staat ook dat het gaat om LANGE links, bijvoorbeeld subdomeinen. Dan schijn je alleen het eerste deel te zien, wat “nep” kan zijn. Stel dat ik bijvoorbeeld een domein hackers.com zou hebben en ik maak daar een subdomein op aan: http://www.appel.com.itunes.hackers.com. Dan zou jij kunnen denken dat je naar Apple gaat, wat niet zo is. Ik ga zometeen eens even in de praktijk proberen hoe lang zo’n link moet zijn, ben wel benieuwd.
om dit nou direct een beveiligingslek te noemen.. Het is sowieso niet verstandig om mailtjes te openen van afzenders die je niet kent en links in die mailtjes volgen al helemaal niet!
Dit zijn niet zozeer lekken in de software maar in de interface.
een pixel die automatisch wordt geopend omdat de iphone het een afbeelding vind natuurlijk wel het is geen link waar je op moet klikken!
zo zijn er wel meer kleine foutjes in het toestel aanwezig
misschien kent iemand Picasa van google (een webalbum faciliteit) op een normale pc kun je een map van meer dan 300 afbeeldingen probleemloos in je browser laden , Bij de iphone is er schijnbaar een beperking van maar 100 afbeeldingen! Heel vreemd ook al heb je meer als 300 pics in je album hij laat er echt maar 100 zien.
wel leuk dat al dit soort kinder ziektes nu aan het licht komen en hopelijk doen ze met de meeste dingen iets bij een aanstaande software update!
Groetjes
een tevreden Iphone gebruiker
Ik vind het een beetje ver gezocht..
Het zijn wel beveiligingslekken te noemen, of ze nu in de interface zitten of ergens anders. Het kan je iig een hoop rotzooi op leveren… En laten we eerlijk zijn, iedereen heeft weleens een spam mailtje geopend want af en toe weten ze het zo te brengen dat je denkt, dat is niet echt, maar het zou kunnen . . . .
Daarbij overigens, wat als je denkt naar facebook te gaan, inlogt en blijkt niet op facebook te zitten en je account is geript?
Maar zo blijf je bezig. Net als een smsdienst waar je je voor kan aanmelden door middel van een 0800 nummer bellen waar achter je een smsdienst kunt hangen van bijvoorbeeld €5 per maand. Op die manier kun je wel bezig blijven.
“een onzichtbare pixel achterhalen of de e-mail is gelezen ”
Hoe moet ik me dit voorstellen :S
Ik noem die geen beveilingingslekken. Traceren doormiddel van een transparante pixel is iets wat is webmail vaak ook word toegestaan. Niet echte en lek maar meer een keuze. Dat je de link niet ziet heb je bij normale hyperlinks ook. beetje ver gezocht dus.
Tevens vind het jammer dat het ook gepost word als lek hiermee word de indruk gewekt dat de iphone een onveilig apparaat is.
@Mike –
De mailclient haalt het plaatje op. Normaal is dat een links als bijvoorbeeld https://www.iculture.nl/wp-content/themes/iPhoneclub/images/header-backg.jpg.
Maarrrr zo’n niet zichtbare pixel wordt ipv. met een gewone link opgehaald bij een unieke link die aan je email adres is gekoppelt. Oftewel, als jouw pixel is gedownload weten zij dat het email adres werkt en het gelezen wordt omdat die pixel geladen is geweest… En dan is het een kwestie van spammen omdat je weet dat het aankomt op een geldig email adres.
Het is niet zo dat iPhone dan een onveilig apparaat is, maar dit is een lek omdat het wel spam kan bevorderen… Overigens mocht er een serieuze lek gevonden worden dan is dat url gedoe wel kwalijk omdat het wellicht dan de lek kan exploiteren…
Dus iPhone veilig? Zover we weten wel, maar mocht er iets ontdekt worden dan zijn deze 2 lekjes wel kwalijker dan voorheen aangenomen.
@ikkieman –
Zover ik weet is het door de opta verboden om een sms dienst te starten middels een telefoongesprek. Het is dus nodig om een sms dienst te starten via een sms naar het dienstnummer…
Volgens mij moet ik toch echt afbeeldingen (bijlagen) eerst aanklikken alvorens ze geladen worden.
Of wordt er gedoeld op afbeeldingen verwerkt in de opmaak van een formulier?
Zijn inderdaad 2 stomme fouten dan. Trieste fanboys die dit bagatelliseren, zeker zo’n linkspoof.
De aluminium petjes worden weer alom opgezet.
De belangrijke emailprogs en webmail laden standaard geen plaatjes in HTML opgemaakte mail. En daar is een goede reden voor. Onbegrijpelijk dat de iPhone geen mogelijkheid biedt om in te stellen. Ook het tweede lek, verborgen links, is een serieus gevaar. Gewone mensen zien misschien geen kwaad maar hackers weten hier wel raad mee.
Apple moet hier zeker iets mee gaan doen.
Blijf vooral zelf altijd opletten en nadenken, dan zijn de helft van de lekken en virussen al de wereld uit. Immers ben je zelf de grootste lek en virus voor je pc (of alleen lek voor de mac en iphone)…
lekker boeien. Druk je op zo’n link in je mail, gaat er een venster open in Safari met daarin de hele url. Kan je nog mooi op stop drukken.
… Trouwens, ik snap eigenlijk ook niet waarom het een beveiligingslink is, je kan dus zo’n link lang ingedrukt houden en dan zien waarheen de url gaat, dat is dan toch een vorm van beveiliging… Meestal zijn het al mailtjes waarbij iets al niet lijkt te kloppen. Daarnaast is het enige wat ze met deze methode kunnen doen is het checken of je email actief is, vervelend maar niet onveilig. Daarnaast heeft de mail applicatie op je Mac hetzelfde probleem en staat bij Safari als standaard de status balk onderin ook uit, dus dan is eigenlijk de Mac ook onveilig.
Van het plaatjes laden ia wel onhandig ja, vooral in je buitenland waar je wel je mail wilt maar niet alle vormgeving van nieuwsbrieven e.d
Trouwens Is dit bij windows mobile dan wel beveiligd, of leverde dat niet genoeg nieuwswaarde op voor de onderzoeker?
Ik vind meneertje Aviv Raff nou niet echt geniaal en ik begrijp ook waarom Apple er geen aandacht aan heeft besteed. Dit soort dingen kan je geen beveiligingslek noemen.
Boring dus, niet het vermelden waard.
@Frank: In het artikel staat ook dat het gaat om LANGE links, bijvoorbeeld subdomeinen. Dan schijn je alleen het eerste deel te zien, wat “nep” kan zijn. Stel dat ik bijvoorbeeld een domein hackers.com zou hebben en ik maak daar een subdomein op aan: http://www.appel.com.itunes.hackers.com. Dan zou jij kunnen denken dat je naar Apple gaat, wat niet zo is. Ik ga zometeen eens even in de praktijk proberen hoe lang zo’n link moet zijn, ben wel benieuwd.