Ernstige lekken maakten iPhones jarenlang kwetsbaar

Ernstige lekken zorgden ervoor dat recente iPhone-modellen jarenlang kwetsbaar waren voor malware. Dat ontdekten beveiligingsonderszoekers van Google. Het gaat om lekken in de iPhone 5s tot en met X.

Gonny van der Zwaag | iCulture.nl - 30 augustus 2019, 8:42
· Laatst bijgewerkt: 19:19

Ernstige lekken sinds iOS 10

De lekken waren aanwezig in iOS 10 tot en met iOS 12. Daarna zou Apple de lekken hebben gedicht, zo schrijven de Google Zero-onderzoekers in een blogposting. Aanvallers konden de iPhone voorzien van malware, waarna ze toegang kregen tot alle databases van apps. Zo konden ze bijvoorbeeld berichten van iMessage, WhatsApp en Telegram uitlezen. De berichten van iMessage en WhatsApp zijn weliswaar versleuteld tijdens het verzenden, maar niet op het toestel zelf.

Ook was het mogelijk om met malware de inhoud te raadplegen van e-mailapps zoals Gmail en Outlook, het adresboek en de Foto’s-app. De onderzoekers konden realtime de GPS-locatie van een slachtoffer volgen. Er was ook toegang tot opgeslagen wachtwoorden, zoals die van Google’s inlogdienst. Aanvallers konden daarmee toegang krijgen tot deze Google-accounts en de diensten die eraan waren gekoppeld.

De besmetting gebeurde via gehackte websites, die dagelijks enkele duizenden bezoekers per dag kregen. Als je met de iPhone een dergelijke website bezocht, vond een aanval plaats. Als dat lukte werd malware geïnstalleerd, waarna een kwaadwillende vrij spel had.

Waarom meldt Google dit soort lekken?

Dat juist Google deze lekken ontdekt heeft, lijkt misschien verdacht. Is het een bewuste campagne om concurrent Apple zwart te maken? Dat is een veelgehoord misverstand. De lekken zijn ontdekt door Google’s Project Zero, een speciaal team van beveiligingsanalisten dat als taak heeft om zero day-aanvallen te vinden. Dit zijn lekken die misbruik maken van kwetsbaarheden in software en die nog niet zijn gefixt door de ontwikkelaar. Project Zero bestaat sinds juli 2014 en richt zich op veel gebruikten software. Niet alleen van Google zelf, maar ook andere populaire software. Bugs die Project Zero vindt worden gemeld bij de fabrikant. De details komen pas naar buiten op het moment dat het probleem is gefixt, zodat er geen misbruik meer van gemaakt kan worden. Bij deze kwetsbaarheden is dat ook het geval: Apple werd in februari 2019 geïnformeerd en heeft het al opgelost in iOS 12.1.4, dat 7 februari 2019 verscheen. In de beveiligingsnotities bij nieuwe iOS-releases zul je dan ook vaak de naam van Google Project Zero en beveilligingsonderzoeker Iain Beer zien. In feite zorgt Google er dus voor dat iOS beter en veiliger wordt.

Wat kun je er zelf aan doen?
Om besmetting te voorkomen kun je een aantal maatregelen nemen:

Installeer minimaal iOS 12.1.4, want daarin zijn de kwetsbaarheden opgelost. Maak er een gewoonte aan om je toestel bij te werken zodra er een update is.
Heb je toch een oudere iOS-versie, herstart dan je iPhone. De onderzoekers ontdekten dat de malware van besmette iPhones werd gewist als het toestel opnieuw werd opgestart.
Herstarten lost het probleem echter niet volledig op, aangezien aanvallers nog kunnen beschikken over inlognamen en wachtwoorden. Schakel daarom over op tweefactorauthenticatie, zodat er alleen toegang tot de accounts is als iemand fysieke toegang heeft tot jouw iPhone.

Hoe reset ik mijn iPhone? Dit zijn de opties voor je iPhone herstarten

Wil je je iPhone resetten of herstarten, dan kan dat op twee manieren. We leggen hier beide resetmethoden voor de iPhone uit met een stappenplan. Een uitkomst als de knoppen of het scherm van je iPhone niet meer reageren!

Revisiegeschiedenis:

2019 - 30 augustus: Abusievelijk hadden we eerder iOS 12.4.1 als versie staan waarin deze exploits zijn opgelost. Dit moet iOS 12.1.4 zijn dat op 7 februari 2019 verscheen. Het blogartikel van Google Project Zero is vooral een uitgebreide terugblik.
2019 - 30 augustus: Meer informatie toegevoegd over Google's Project Zero en hun betrokkenheid bij het vinden van lekken.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Het laatste nieuws over Apple van iCulture