Demo van Metasploit leidt tot verontruste reacties

Een security consultant toont in een filmpje hoe je met Metasploit makkelijk toegang kunt krijgen tot alle gegevens op een iPhone.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Over Metasploit hebben we al vaker iets geschreven, het tool van H.D. Moore waarmee je volledige controle over een iPhone kunt krijgen. Maar blijkbaar wordt het veel beangstigender als iemand het ook nog even in een filmpje demonstreert. De security consultant op de website van Fast Company laat zien hoe je via een website een programma kunt installeren, waarna je vervolgens via Terminal toegang krijgt tot de iPhone. Het laat nog maar eens zien, dat het besluit van Apple om alle applicaties met rootrechten te laten draaien, toch niet zo’n goed idee was.


Dankzij Metasploit krijg je toegang tot e-mail, de lijst van gebelde nummers, voicemail en meer. Met de SDK die vanaf februari uitkomt zal dit voor een deel worden opgelost: met de SDK kun je sandboxed applicaties maken die – zoals de naam al aangeeft – in een zandbak draaien en geen toegang hebben tot de rest van de processen op de iPhone. Gizmodo denkt dat UNIX-specialist Rick Farrow in het filmpje gebruikmaakt van de TIFF-exploit uit firmwareversie 1.1.1. Daarover zouden we niet meer ongerust hoeven te zijn, want met de 1.1.2 patch van Apple of met Jailbreakme kun je dat lek immers dichten. Leuk bedacht, maar het verandert natuurlijk niets aan de situatie dat veel mensen nog steeds met firmware 1.1.1 werken en het probleem dat processen met volledige rootrechten draaien is daarmee ook nog niet opgelost.

Het complete verhaal is te vinden op Fast Company en heeft bij verschillende websites (waaronder het eerder genoemde Gizmodo) nogal verontruste reacties teweeg gebracht. Maar misschien zijn mensen niet zozeer geschrokken van de hack zelf, als wel van de priemende ogen van de beveiligingsconsultant.

Reacties: 7 reacties

  1. Hmmmn ben benieuwd wanneer er echte gevallen van gewone users gaan opduiken…

  2. Voor de mensen die dit filmpje willen kijken: ENGE MAN alert!

    Dus u bent allen gewaarschuwd.

  3. Ja, die begin ‘shot’ als het filmpje nog niet speelt :s

  4. Ligt het aan mij of is de opname die hij afspeelt met QT anders dan wanneer hij opneemt?? Of heb ik iets gemist?

  5. Hij gebruikt de bekende tiff exploit, die is dicht in 1.1.2 en kan gedicht worden in 1.1.1.
    Als je SSH uitzet dan kan je niets gebeuren op deze manier, niemand kan dan zoals hij inloggen op je iPhone.
    Heb je 1.1.1? installeer dan services met installer en zet SSH uit. safe!
    Als je al 1.1.2 hebt met de nieuwe jailbreak, zet SSH dan uit met het SSH icoontje op je springboard.

  6. Wat een lul verhaal van deze man. Dit was al bekend bij de eerste FW van de iPhone. Hij verteld er niet bij dat er een enorme code moet worden gebruikt om het tiff exploit te openen. Voor de meeste mensen een onmogelijke taak. Verder hebben de gehackte iPhone gebruikers die jailbreakme hebben gebruikt het gat gedicht want dat was een van de voordelen van de jailbreakme methode.

  7. Wat is dat toch met sommige mensen die filmpjes over de iphone maken hehe. De man in dit filmpje is zo neergezet dat het lijkt alsof:
    1. Hij Michael Myers is zonder masker.
    2. Hij je iphone op afstand kan hacken met zijn hypnotiserende ‘supermindpower’

    Ik weet niet wie zich het filmpje van GeoHot kan herinneren, maar ook daar lijkt het aan het einde alsof hij je ombrengt mocht je denken dat het een hoax is.

Reacties zijn gesloten voor dit artikel.