Reacties voor: Ontwikkelaars winnen 1 miljoen met browsergebaseerde iOS-jailbreak

Er is een kwetsbaarheid in iOS gevonden, waardoor een browsergebaseerde jailbreak mogelijk is. Helaas zul je deze methode niet kunnen gebruiken, omdat een beveiligingsbedrijf het gaat doorverkopen aan overheden, financiële instanties en defensie-organisaties.
Gonny van der Zwaag | iCulture.nl -

Reacties: 32 reacties

  1. Triest. En dat noemt zich dan een beveiligingsbedrijf. Nu mag het doel van een bedrijf wel commercieel gericht zijn, maar een beveiligingsbedrijf wat zijn eigen belangen hoger zet dan de bescherming van gegevens van klanten is zeer triest. Dit soort methodes moeten door dergelijke bedrijven doorgegeven worden aan Apple desnoods verkopen aan Apple.

  2. @Ruben: Maak je niet druk apple dicht meerdere kwetsbaarheden

    Als iemand anders deze jailbreak methode vindt om dit te gebruiken in het publiek om je iphone te jailbreaken
    Eindigt 9 van de 10x de source code op github of een andere website

    Deze methode die ze nu gevonden hebben word binnen de kortste keren gedicht

  3. Maar als de Amerikaanse overheid, waar het hier in principe om gaat, doorgaat met die nieuwe CISA wet, dan is Apple verplicht om een back-door aan te maken en is dit in principe toch helemaal niet nodig?

    Toch ronduit kansloos en bijna mensonterend dat dit gedaan/gewenst wordt. Hiermee heb je niet eens recht op privacy, het wordt gewoon geforceerd afgenomen.

  4. Goed punt Sander.
    Geen recht op privacy zo

  5. Goednieuws voor mensen op 9.1 want er is de mogelijkheid tot jailbreaken. Verder als ik terug kijk naar jailbreak.me, moest je als ik het me goed voor de geest kan halen, wel toestemming geven. Zolang ze dit niet omzeilen met deze “jailbreak” is er geen reden tot paniek over privacy.

  6. Eigenlijk zijn de makers van de jailbreak dus niet zo slim om hun exploits te gebruiken voor de jailbreak aangezien je ze dus per stuk voor 1 miljoen kunnen verkopen.

  7. @Harry: het lastige zit hem niet meer zo zeer in de jailbreak zelf maar meer in het feit dat dit zonder medeweten van de bezitter van de telefoon kan.

  8. Ik vind het op een of andere manier echt een heel erg ongeloofwaardig verhaal.

  9. Origineel geplaatst door Bob
    Ik vind het op een of andere manier echt een heel erg ongeloofwaardig verhaal.

    Gelukkig ben ik dus niet de enige…. Wie zegt dat het waar is, er valt vooralsnog weinig te bewijzen.

  10. Origineel geplaatst door marvin
    Deze methode die ze nu gevonden hebben word binnen de kortste keren gedicht

    Nou, als niemand anders deze exploit ontdekt, dan gaat Apple em ook niet fixen. Dit is een zero-day attack. Dit wil zeggen dat het gebruik maakt van een bug die al in iOS zit vanaf versie 1. De exploit is nu pas voor het eerst in 8 jaar tijd een keer ontdekt door een paar mensen. Ik schat de kans niet erg groot dat andere mensen dit ook spontaan gaan vinden ineens.

  11. Dus dan word straks jailbreaken nog beter voor de consument. Want de jailbreak tweaks dichten dan de backdoors van apple.

  12. Je moet om deze zeroday op je toestel te krijgen een website bezoeken met code waardoor deze hack geïnstalleerd wordt op je telefoon. Zelfs als er op een toestemming gedrukt moet worden (wat niet zo is) zijn hackers vaak zó vernuftig dat ze een pop up of pagina maken met een ‘onzichtbare’ knop en een loze yes or no vraag daar overheen leggen waar je op móet klikken en waarbij je niet ziet dat je ondertussen ergens anders toestemming voor geeft. Lijkt dat ingewikkeld? Nee. Omdat overheden via de wet toegang hebben tot het surfgedrag van verdachten (en onschuldige burgers tegelijk) kunnen ze via een Pineapple (een netwerk dat je telefoon of ipad aanneemt als een bekend netwerk, zie je ook niks van) én een trucje jou naar een vaak bezochte en dus bij jou vertrouwde pagina leiden waarvan zij de broncode aanpassen, waarna je die hack heel makkelijk installeert. In stilte.

    Dit lijkt Sci-Fi. Maar dit gebeurt elke dag en op grotere schaal dan de meeste mensen denken. De enige oplossing? Instellingen->Restricties->Safari uitzetten. Oftewel niet browsen op je mobiel (ook niet via een andere mobiele browser zoals Chrome bv: want ook daar werken dit soort exploits).

  13. @Tom van Zummeren: Nou ze zullen anders wel met een maatregel moet komen, anders ligt het hele security verhaal volledig op zijn achterwerk.
    In ieder geval is nu de mythe weerlegd dat een gewone iPhone beter beveiligd zou zijn dan een jailbroken toestel

  14. @Tom van Zummeren: Een zero day exploit wil helemaaal niet zeggen dat deze al in iOS 1 zit. De zero in zero day exploit slaat terug op het feit dat apple al 0 dagen heeft gehad op het lek te dichten terwijl de exploit gebruikt / publiek gemaakt is.

  15. Origineel geplaatst door Tom van Zummeren
    Nou, als niemand anders deze exploit ontdekt, dan gaat Apple em ook niet fixen. Dit is een zero-day attack. Dit wil zeggen dat het gebruik maakt van een bug die al in iOS zit vanaf versie 1. De exploit is nu pas voor het eerst in 8 jaar tijd een keer ontdekt door een paar mensen. Ik schat de kans niet erg groot dat andere mensen dit ook spontaan gaan vinden ineens.

    Zero-day houdt in dat Apple 0 dagen de tijd heeft gehad om het lek te dichten, omdat het lek niet bij Apple is gemeld voordat het openbaar wordt gemaakt of wordt misbruikt. Zie Wikipedia.

  16. Het enige voordeel aan deze iOS-jailbreak is dus (puur voor veiligheidsredenen) duidelijke(!!) verdachten screenen en mogelijk onomstotelijk bewijs vinden om die persoon te kunnen betrappen (zie smsjes van verkrachters, pedofielen, criminelen…) Voor de duidelijkheid bedoel ik ook enkel serieuze verdachten die al gelinkt zijn aan zulke praktijken en niet zo maar jan en alleman!

  17. @Martijn: @Jeroen: I stand corrected

  18. Origineel geplaatst door SDsD
    Het enige voordeel aan deze iOS-jailbreak is dus (puur voor veiligheidsredenen) duidelijke(!!) verdachten screenen en mogelijk onomstotelijk bewijs vinden om die persoon te kunnen betrappen (zie smsjes van verkrachters, pedofielen, criminelen…) Voor de duidelijkheid bedoel ik ook enkel serieuze verdachten die al gelinkt zijn aan zulke praktijken en niet zo maar jan en alleman!

    En dat voordeel wordt elke keer als paradepaardje gebruikt en ondertussen heeft niemand meer recht op zijn privacy

  19. Origineel geplaatst door Madison
    … De enige oplossing? Instellingen->Restricties->Safari uitzetten. Oftewel niet browsen op je mobiel (ook niet via een andere mobiele browser zoals Chrome bv: want ook daar werken dit soort exploits).

    Dat klinkt als: “de oplossing voor niet te dik worden is nooit meer te eten”. De hele lol van een iPhone/smartfone is bellen, email en internet in je zakagenda. Wel nuttig om aan te stippen dat het feitelijk onmogelijk is om je te verweren tegen deze sneaky-browser-jailbreaks die onze overheden in de naam van ons algemeen belang gaan uitvoeren. En dat er eerlijke bedrijven zijn die heel veel geld willen terugverdienen aan het verkopen aan derden van privacy-lekken in besturingssystemen van onze persoonlijke eigendommen. Zoiets als een sleutelhandelaar die buiten de klant om een sleutel-loper om via onze achterdeur binnen te kunnen komen aan goed betalende ambtenaren en beveiligingsbedrijven verkoopt.
    Hoe leg je dit aan kinderen op scholen uit, die nog leren waar we de grens tussen goed en fout leggen? Zal de overheid wel iets op bedenken.

  20. Zerodium verkoopt deze jailbreaks aan overheden en andere grote bedrijven.

  21. Wanneer je de i uitschakelt op je phone, ben je beschermt voor allerlei aanvallen via het grote boze web. Absolute privacy bestaat gewoon niet, al gaan we daar wel vanuit en houden we vast aan dat geloof.

  22. Het is geen kwestie van geloven. Elke burger heeft recht op een zekere mate van privacy. Het is treurig dat dit kleine beetje privacy op deze manier wordt geschonden en dat daar veel geld mee wordt verdiend. Buitengewoon cynisch, dit. Werk aan de winkel voor mensenrechtenorganisaties !

  23. Eerst zien dan geloven.
    Dit klinkt namelijk als een verkapte reclamestunt voor dit bedrijf.

  24. Had iemand al eens van Zerodium gehoor vóór dit bericht? Ik niet. Zou best gewoon eens een (goed gelukte) reclame stunt kunnen zijn, terwijl er helemaal geen 0day lek is…

  25. Wel heel neutraal verhaal op deze manier, zelfs nos.nl is toch wat duidelijker:


    Zerodium is een bedrijf dat zoekt naar kwetsbaarheden in software en die informatie doorverkoopt aan haar klanten. Dit wordt gezien als een zeer controversiële methode, want hierdoor worden de lekken niet gedicht. … (bron: nos.nl)

    Eigenlijk verschilt dit niets van andere onethische hackers: gewoon een stelletje huurlingen die zichzelf verkopen aan de hoogste bieder. ‘Aan overheden en andere bedrijven’, jaja, lekker schijnheilig. Niet alleen bij ‘schurkenstaten’ (die overigens niet worden uitgesloten) biedt dat geen enkele garantie dat de informatie niet in verkeerde handen valt (denk voor NL alleen maar aan Plasterk die met reden de Big Brother Award heeft gewonnen, en recent ontdekte lekken van een heel ander – menselijke – soort 😕)

    Één troost: als het ze om het geld te doen is, is dat ook de manier om ze aan te pakken. Gelukkig heeft Apple nog een paar miljard achter de hand om ze regelrecht de financiële afgrond in te procederen.😡 Ben ik bij patenten niet zo’n voorstander van, maar in dit geval hoop ik van harte dat ze ze aanpakken met alle middelen die ze daarvoor hebben.

  26. Hoewel ik al nooit de illusie had dat je met welk apparaat/OS/programma/dienst dan ook volledig veilig bent, word ik toch niet vrolijk van zulke berichten. Hopelijk weet Apple het snel te dichten.

    Origineel geplaatst door SDsD
    Het enige voordeel aan deze iOS-jailbreak is dus (puur voor veiligheidsredenen) duidelijke(!!) verdachten screenen en mogelijk onomstotelijk bewijs vinden om die persoon te kunnen betrappen (zie smsjes van verkrachters, pedofielen, criminelen…) Voor de duidelijkheid bedoel ik ook enkel serieuze verdachten die al gelinkt zijn aan zulke praktijken en niet zo maar jan en alleman!

    Weer iemand van de ‘Ik heb toch niks te verbergen’-brigade. Droom vooral verder… of lees eens iets over hoe het er in het echte leven aan toe gaat.

    Origineel geplaatst door gert
    @Tom van Zummeren: Nou ze zullen anders wel met een maatregel moet komen, anders ligt het hele security verhaal volledig op zijn achterwerk.
    In ieder geval is nu de mythe weerlegd dat een gewone iPhone beter beveiligd zou zijn dan een jailbroken toestel

    Dat is geen mythe maar gewoon een aantoonbaar feit. Daarnaast: of bovenstaand verhaal waar is staat nog allerminst vast, maar ook als het wel zo is, dan is er dus één geval bekend waarmee je de controle over iOS 9 kunt krijgen. Bij een toestel met jailbreak zijn er veel meer mogelijke zaken die je toestel/data in gevaar kunnen brengen, wijzigingen en code waar je geen weet van hebt die kwetsbaar (of bewust onveilig) zijn.

    Edit: en wat Ferryman terwijl ik aan het typen was postte, volledig mee eens!

  27. En dit alles gebaseerd op een tweet zonder enig feitelijk bewijs. Wat een nieuws geving tegenwoordig (aangezien dit ook op “echte” nieuws sites stond.) Wat onwijs irritant.

  28. Origineel geplaatst door Oscar
    En dit alles gebaseerd op een tweet zonder enig feitelijk bewijs. Wat een nieuws geving tegenwoordig (aangezien dit ook op “echte” nieuws sites stond.) Wat onwijs irritant.

    Precies, laat ze eerst maar eens met bewijs komen. Tot die tijd vind ik dit een broodje aap verhaal.

  29. Hoe krijg je snel wereldwijd naamsbekendheid als beveiligingsbedrijf? Je roept iets met Apple en alle media gaan direct aan de slag. Waarheidsvinding door de pers is onmogelijk, want het is alleen een gerucht zonder bewijzen.

  30. Door alle reacties te lezen ben ik weer een beetje opgelucht. Dankjewel jongens!

  31. Origineel geplaatst door Sander
    Maar als de Amerikaanse overheid, waar het hier in principe om gaat, doorgaat met die nieuwe CISA wet, dan is Apple verplicht om een back-door aan te maken en is dit in principe toch helemaal niet nodig?
    Toch ronduit kansloos en bijna mensonterend dat dit gedaan/gewenst wordt. Hiermee heb je niet eens recht op privacy, het wordt gewoon geforceerd afgenomen.

    Het is ronduit schandalig Sander. Dank u wel overheid voor uw onbetrouwbaarheid, immers ook onze minister Plasterk heeft zich van zijn slechtste kant laten zien en hij is er nog trots op ook. En dat allemaal van ons geld…! Die miljoen die Zerodium betaald heeft, betalen wij natuurlijk ook impliciet zelf, immers de geheime diensten betrekken hun geheime inkomsten indirect van ons….

  32. Ik hoop dat Apple het snel fixt en die miljoenen euros voor niks maakt. Zoon “beveiliging” bedrijf dat hacks opkoopt voor slechte bedoelingen zou niet moeten bestaan! Apple is al een van de veiligste platformen, (zeker vergeleken met het populariteit van deze platformen) en ze doen ook hun best. Zoon *** bedrijf moet daar niet tussenin staan! Wat ik ook slecht vindt is dat de makers het doorverkochten… Al zijn miljoenen euros wel aantrekkelijk… Het zet je wel dan aan het twijfelen…

Reacties zijn gesloten voor dit artikel.