Niet gepatchte iPhone kwetsbaar door bugs

  • Opslaan als PDF
  • Print
  • Aanbevelen
Gepubliceerd:25-07-2008 om 11:49 Auteur:Gregg Keizer

Phishers en spammers hebben mogelijk vrij spel op de nieuwe iPhone 3G.

Kwetsbaarheden in de beveiliging van de iPhone kunnen ertoe leiden dat gebruikers onbeschermd zijn tegen phishing- of spam-aanvallen. Tekortkomingen in de emailtoepassing en Safari-browser zouden door phishers kunnen worden gebruikt om gebruikers naar kwaadaardige websites om te leiden, of door spammers om de inbox van de telefoon te overspoelen met ongewenste mail.

Aviv Raff, onderzoeker van browserkwetsbaarheid, zei dat hij zo’n twee weken geleden drie verschillende bugs bij Apple heeft gerapporteerd: twee in het iPhone Mail programma en één in de Safari browser.

Apple heeft volgens Raff toegegeven dat de twee kwetsbaarheden in Mail beveiligingskwesties betreffen, maar het bedrijf aarzelt of de bug in Safari wel beveiligingsbugs genoemd mag worden. Apple heeft zo nu en dan moeilijk gedaan over het labelen van problemen als beveiligingskwetsbaarheden, voornamelijk in mei toen het in eerste instantie zei dat de zogenaamde “carpet bomb”-bug niets met beveiliging te maken had. Een maand later werd Safari wel door Apple gepatcht om het soort aanvallen te voorkomen dat Raff, en andere onderzoekers, hadden aangegeven.

“Door een speciale URL aan te maken en deze via een email op te sturen, kan een aanvaller de gebruiker ervan overtuigen dat de gespoofte URL die in de Mail applicatie wordt getoond afkomstig is van een vertrouwd domein, zoals bijvoorbeeld een bank, PayPal, of sociale netwerken,” zei Raff in een post op zijn blog. “Als de URL wordt aangeklikt, opent de Safari browser, met daarbij de gespoofte URL die er in de adresbalk van de browser voor de gebruiker uitziet alsof het van een vertrouwd domein komt.”

Raff raadt gebruikers aan geen links te volgen die in berichten zijn ingebed. Om spam te vermijden raadt hij aan dat gebruikers geheel stoppen met het gebruik van de iPhone emailtoepassing.

Raff aarzelde te praten over de technische details van de drie bugs. Hij zei dat hij geen specifieke details openbaar zal maken totdat de problemen door Apple zijn gepatcht. Maar toen hij gevraagd werd of de bugs in Mail en Safari misschien gerelateerd zijn aan protocolproblemen – al meer dan een jaar lang een veelvoorkomende bron van bugs in browsers – zei Raff eerst: “Nee, het heeft niks te maken met de uitvoer van protocollen.” Seconden later voegde hij echter toe: “Hmmm. Laat ik het anders zeggen. Het heeft bijna niets te maken met de uitvoer van protocollen.”

Het spam-gerelateerde euvel in Mail is een “erg fundamenteel mankement in het design,” zei Raff, dat een emailaccount kwetsbaarder kan maken voor spam. “Ik kan hier niet meer over zeggen, omdat dan mogelijk het daadwerkelijke probleem ontsluierd wordt.”

Deze bug is vaker naar voren gekomen in andere versies van Apple’s Mail software (het bundelt een veel sterkere versie met Mac OS X) en in die versies is het gepatcht, aldus Raff.

Zowel de oudere versie 1.1.4 als de onlangs uitgebrachte versie 2.0 van de iPhone’s software bevatten de drie bugs. Volgens Raff is het exploiteren van deze bugs een koud kunstje. Hij heeft een proof of concept opgesteld om mogelijke aanvallen te demonstreren.

Apple heeft niet meteen gereageerd op een verzoek tot bevestiging van de rapporten van Raff.

Bron: ComputerWorld.com

Vertaling: Chwhynny Overbeeke

  • Opslaan als PDF
  • Print
  • Aanbevelen
Relevante whitepaper: Kansen en beveiliging van social media Download
blog comments powered by Disqus

Peiling

Loading
Bekijk hier de uitslagen van eerder gehouden peilingen.

Nieuwsbrief

Ontvang tweemaal per week een overzicht van de meest recente artikelen op Computerworld.nl in uw mailbox