Ontwikkelaars winnen 1 miljoen met browsergebaseerde iOS-jailbreak

Er is een kwetsbaarheid in iOS gevonden, waardoor een browsergebaseerde jailbreak mogelijk is. Helaas zul je deze methode niet kunnen gebruiken, omdat een beveiligingsbedrijf het gaat doorverkopen aan overheden, financiële instanties en defensie-organisaties.

Gonny van der Zwaag | iCulture.nl - 3 november 2015, 12:59

Ontwikkelaars hebben een zero day attack voor iOS gevonden, waarmee het mogelijk is om een iPhone op afstand te jailbreaken, zelfs als de eigenaar dat niet wil. De hackers vonden een methode om elke iPhone of iPad te jailbreaken door een geprepareerde website te bezoeken. Helaas zul je als gewone gebruiker deze jailbreakmethode niet zelf kunnen toepassen, want de ontdekking is voor ongeveer $1 miljoen verkocht aan beveiligingsbedrijf Zerodium. Zij zullen de methode doorverkopen aan overheden en andere bedrijven, die het gaan gebruiken om verdachte personen te bespioneren.

Zerodium exploiteert kwetsbaarheden

De ontdekkers van de jailbreakmethode ontvingen een premie van een miljoen dollar, zo kondigde Zerodium op Twitter aan. De informatie zal niet openbaar worden gemaakt, waardoor Apple de kwetsbaarheden in toekomstige iOS-versies voorlopig niet kan dichten. De methode werkt via een browser in iOS 9.1 en iOS 9.2. Zerodium heeft aangegeven dat ze in de toekomst ‘wellicht’ wel details aan Apple zal verstrekken, maar ze zullen eerst proberen om de ontdekking ten gelde te maken bij klanten die werkzaam zijn in onder andere defensie en de financiële wereld. Zerodium is een start-up die specifiek is opgericht voor het zoeken en commercieel exploiteren van kwetsbaarheden.

Met de ontdekking is het mogelijk om op afstand toegang te krijgen tot iPhones. Daarvoor moet het slachtoffer eerst worden uitgenodigd om een bepaalde website te bezoeken, waarna de jailbreak ongemerkt plaatsvindt. Privégegevens van het slachtoffer zijn daarna af te tappen, zonder dat de gebruiker er iets van merkt. Overheidsinstanties zijn wel aangewezen op dit soort commerciële methoden, sinds Apple het standpunt hanteert dat ze geen gegevens van iPhones kunnen achterhalen op iOS 8 en iOS 9.

Apple: ‘Toegang tot data op nieuwere iPhones onmogelijk’

Apple heeft bij een rechter aangekaart dat ze iPhones met iOS 8 en iOS 9 niet kunnen ontgrendelen en data er vanaf halen. Bij iOS 7 is dat gedeeltelijk wel mogelijk, zegt Apple.

Browsergebaseerde jailbreak is bijzonder

Bijzonder aan de nieuwe jailbreakmethode is dat het via de browser werkt. Het is inmiddels lang geleden dat het zo gemakkelijk was om te jailbreaken: met JailbreakMe was ten tijde van iOS 4 de laatste bekende jailbreakmethode via de browser. Daarna volgden vooral jailbreakmethoden waarbij je software op Windows of OS X moest installeren, maar die methoden zijn niet toepasbaar als je een iPhone stiekem wilt jailbreaken om te kunnen spioneren. De methode die nu gevonden is, maakt gebruik van een kwetsbaarheden in iOS waarmee je op afstand toegang kunt krijgen tot informatie op de iPhone. Vervolgens is het ook mogelijk om op afstand bepaalde acties uit te voeren. Die zullen vooral gericht zijn op afluisteren.

Handleiding jailbreak iOS 11 en iOS 10 met stappenplan

Handleiding jailbreak iOS 11 en iOS 10 met tools als Yalu, Electra, Meridian, en H3lix. Vind de jailbreak-methode die bij jouw iPhone en iOS-versie past en bekijk het stappenplan om de jailbreak uit te voeren.

Het is niet toegestaan om in de reacties onder dit artikel hulp te vragen bij persoonlijke problemen rondom jailbreaken. Daar hebben we een speciaal forum voor. Ons beleid omtrent jailbreaknieuws blijft verder ongewijzigd. We maken een uitzondering voor deze jailbreakmethode vanwege het mogelijke exploitgevaar wat in deze methode huist.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!