Apple dicht kritiek lek in iPhone: Wachtwoorden kunnen via MMS-bericht gestolen worden

Apple heeft een kritiek lek gedicht in de nieuwste versie van iOS. Hackers kunnen via dit lek met slechts één MMS (een SMS met een foto) teogang krijgen tot het toestel en wachtwoorden achterhalen.

Tyler Bohan, senior beveiligingsonderzoeker bij Cisco Talos, vond het lek in ImageIO, dat gebruikt wordt om data van foto’s te verwerken. Dankzij deze bug kan een aanvaller een klein programma maken dat gebruikmaakt van deze kwetsbaarheid (een exploit) en deze via MMS versturen. Door de exploit kan er malware worden verstopt in een TIFF-bestand. Zodra deze ontvangen is, start het programma op en kan de gebruiker niets doen om dit te ontdekken. De aanval schrijft code buiten de normale grenzen van de SMS-app op de iPhone.

Vervolgens kan deze code wachtwoorden die in het geheugen van je iPhone staan doorsturen. Volgens Forbes horen hier ook WiFi-wachtwoorden en de informatie die je in je browser gebruikt bij, waaronder die voor websites en je e-mail. Wil de hacker echter je gehele telefoon overnemen, dan moet hij het apparaat eerst jailbreaken, wat een stuk lastiger is.

De aanval beperkt zich bovendien niet tot een iPhone, ook via Safari kan de hack verstuurd worden. Hiervoor hoef je alleen naar een website te gaan met de malafide code, waardoor de exploit via de browser wordt misbruikt. Je hoeft verder niet nog iets te downloaden vanaf de website in kwestie.

‘Extreem kritiek’

Een zelfde soort hack zagen we vorig jaar op Android met Stagefright. Toen was het mogelijk om apparaten te hacken via een beveiligingsfout in de mediabibliotheek. Ruim een miljoen apparaten konden toen gehackt worden. Maar volgens Bohen is de lek in Apple’s systeem nog extremer. “De ontvanger van een MMS kan niet voorkomen dat de exploit geïnstalleerd wordt. MMS is een opslag- en verstuurmechanisme, dus ik kan de exploit vandaag sturen en jij ontvangt het wanneer je telefoon aanstaat”, aldus de beveiligingsexpert.

Apple heeft het lek gedicht in iOS 9.3.3. Als je een iPhone (of iPad) hebt met een oudere versie, dan is het dus verstandig om je telefoon te updaten.