Nieuwe iPhone-hack geeft toegang tot verwijderde foto’s
De kwetsbaarheid werd ontdekt tijdens de Pwn2Own-wedstrijd voor hackers in Tokio, waar werd gezocht naar beveiligingsgaten in iOS en Android. Met de ontdekking wonnen Richard Zhu en Amat Cama een bedrag van 50.000 dollar. Ze hebben hun ontdekking inmiddels doorgespeeld naar Apple, maar een oplossing voor de exploit is er nog niet. Het duo demonstreerde tijdens de wedstrijd hoe je een zojuist gewiste foto van een iPhone X met iOS 12.1 kunt terughalen. Ze gebruikten daarbij de Safari-webbrowser van Apple. Het prijzengeld werd beschikbaar gesteld door sponsor Trend Micro’s Zero Day Initiative.
Verwijderde foto’s terughalen
De twee opereren onder de naam Fluoroacetate. Zij maakten met de iPhone X verbinding met een kwaadaardig Wi-Fi-toegangspunt en waren vervolgens in staat om het bestand uit het geheugen van de iPhone X te halen. Met een dergelijke aanval zou je in theorie een onbeperkt aantal gewiste bestanden kunnen achterhalen, meldt Forbes. Hoe wel de demo op een iPhone X werd getoond, is het aannemelijk dat het op elk apparaat met iOS 12.1 werkt omdat de bug softwarematig is.
De foto die het duo van de iPad haalde was al gewist en stond in de ‘Recent verwijderd’-map van de Foto’s-app. Daar blijven foto’s 30 dagen staan, zodat je ze eventueel nog kan terughalen. Als je wilt kun je deze foto’s handmatig verwijderen uit het album.
Apple is op de hoogte van de bug en zou werken aan een oplossing, die in een toekomstige iOS-update beschikbaar komt. Uiteraard lees je op iCulture meteen zodra je deze update kunt installeren. Het team Fluoroacetate was dit jaar erg succesvol; ze sleepten in totaal $215.000 aan prijzengeld in de wacht tijdens Pwn2Own. Zhu is al jarenlang iOS-hacker en liet ook vorig jaar weer enkele opvallende exploits zien.
Loop je als gebruiker nu gevaar? Niet direct, want er is fysieke toegang tot je iPhone nodig om de foto’s en eventueel andere bestanden te achterhalen. Wel is het zo dat de onderzoekers waarschuwen dat dezelfde methode ook mogelijk is via een Wi-Fi-netwerk, waardoor iemand vlakbij er misbruik van zou kunnen maken. Het is daarom onverstandig om zonder extra beveiliging zomaar verbinding te maken met openbare netwerken, maar gelukkig weten de meeste gebruikers dat wel.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Eerste publieke beta's van iOS 18.3 en iPadOS 18.3 zijn uit voor testers (18-12)
- Ondersteuning voor robotstofzuigers in Woning-app komt in iOS 18.3 (maar alleen in het Engels) (17-12)
- iOS 18.2: deze nieuwe functies brengt de update naar je iPhone (11-12)
- iOS 18.2 en iPadOS 18.2 nu beschikbaar: grote update brengt veel nieuws (11-12)
- Tweede Release Candidate van iOS 18.2 en iPadOS 18.2 nu te downloaden (09-12)
Reacties: 9 reacties