Numrush

Lek in iOS geeft overheden mogelijkheid om via browser toegang te krijgen tot iPhone

iPhone 6S met 3D Touch

Een groep hackers is er in geslaagd om een jailbreak te ontwikkelen voor de huidige versie van iOS (9.1) en de beta van de nieuwe versie (9.2). De jailbreak is uit te voeren via een webbrowser waardoor het voor kwaadwillenden mogelijk is mensen naar een website te sturen om hun telefoon te jailbreaken. Na een jailbreak is het mogelijk aanpassingen te doen om (eventueel kwaadaardige) sofware te installeren buiten de App Store om.

Apple kan voorlopig niets doen, omdat niet niet bekend is waar het lek zit dat hiervoor wordt gebruikt. De hackers hebben het lek namelijk gevonden naar aanleiding van een wedstrijd die het beveiligingsbedrijf Zerodium heeft uitgeschreven. Ze betalen de hackers hiervoor een flink bedrag, zo’n miljoen dollar volgens Wired. Zerodium verkoopt de kennis vervolgens aan zijn klanten.

Zerodium heeft zowel bedrijven op het gebied van defensie, technologie en financiën in zijn klantenkring, als ook overheidsorganisaties “die willen beschikken over specifieke en op-maat-gemaakte beveiligingsmogelijkheden”. Het handelt naar eigen zeggen alleen met landen die zijn aangesloten bij de NAVO. Verder is er maar weinig bekend over het bedrijf, dat in juli startte en geld wil verdienen met het ontdekken en verkopen van lekken.

Het zou dus mogelijk zijn dat bijvoorbeeld overheden deze lek in gaan zetten om gericht telefoons te jailbreaken en bijv. afluistersoftware te installeren, maar dat is makkelijk gezegd dan gedaan. Zoals Tweakers opmerkt moeten potentiële doelwitten daarvoor eerst naar een website worden geleid die de jailbreak uitvoert. Vervolgens zou de software nog moeten worden geïnstalleerd.

Het lek in opmerkelijk, omdat iOS bekend staat als relatief veilig ten opzichte van Android dat veel opener is. Desondanks was het al eerder de mogelijkheid om via een webbrowser een iPhone te jailbreaken. Die methode is toen openbaar gemaakt en het lek is daarna vrij snel door Apple verholpen via een software update.