Beveiligingslek laat iPhone eindeloos opstarten

Een beveiligingslek in het SSL-protocol van iOS kan misbruikt worden om apps te laten crashen of de iPhone in een opstartlus te brengen.

iPhone iOS bootOnderzoekers hebben een beveilingslek gevonden in iOS, waarmee je apps op een iPhone of iPad met iOS 8 kunt laten crashen. Bovendien kunnen de iDevices tijdelijk onbruikbaar raken, omdat ze in een eindeloze opstartlus terechtkomen.


Het probleem ontstaat door een SSL-bug in iOS, waardoor een app crasht zodra deze een beveiligde verbinding met een server wil maken. Als je een oppassende iPhone-gebruiker bent, is er niet direct gevaar. Om jouw iPhone te laten crashen moet je namelijk eerst verbinding maken met een gehackte hotspot, die is voorzien van aangepaste SSL-certificaten. Zoiets overkomt jou natuurlijk niet, omdat je altijd veilig gebruik maakt van Wi-Fi-hotspots.

Zit je eenmaal in een bootloop, dan is deze bovendien makkelijk te verbreken.

Gehackte Wi-Fi-hotspots

Het probleem zit hem in het SSL-protocol, dat veelvuldig gebruikt wordt voor gegevensverkeer op internet. Met een aangepast SSL-certificaat en een script zou je een router zo kunnen aanpassen, dat apps elke keer crashen als er verbinding wordt gemaakt over SSL. In sommige gevallen komt de iPhone in een opstartlus terecht, waarbij iOS elke keer crasht bij het opstarten. Binnen een bedrijf zou dit beveiligingslek voor enorme problemen kunnen zorgen, mocht een hacker toegang tot de routers weten te verkrijgen, maar voor bezitters van een iPhone is de oplossing voor de hand liggend: zorg dat je buiten bereik van de betreffende hotspot bent en schakel Wi-Fi uit of verwijder de hotspot uit de verbindingslijst.

Omdat SSL wordt gebruikt door vrijwel elke iOS-app wordt het beveiligingslek als ‘ernstig’ geclassificeerd. Apple is inmiddels ingelicht en werkt aan een oplossing voor het probleem. iOS 8.3 zou het probleem (toevalligerwijze) al voor een groot deel verhelpen, dus raden de onderzoekers aan om te upgraden naar de laatste iOS-versie.

Het crashen van apps:
https://www.youtube.com/watch?v=i2tYdmOQisA

De opstartlus:
https://www.youtube.com/watch?v=PmgI0LaFYLA

Ook lek in OS X Yosemite

Apple is de laatste tijd weer veelvuldig in het nieuws om bugs en beveiligingslekken: zo is OS X 10.10.3 nog steeds vatbaar voor de Rootpipe bug en meldt SourceDNA dat een groot deel van de iOS-apps vatbaar is voor man in the middle-aanvallen waarbij kwaadwillenden je gebruikersnaam en wachtwoord zouden kunnen achterhalen.

Reacties: 12 reacties

Reacties zijn gesloten voor dit artikel.