Nieuwe iPhone-hack geeft toegang tot verwijderde foto’s
De kwetsbaarheid werd ontdekt tijdens de Pwn2Own-wedstrijd voor hackers in Tokio, waar werd gezocht naar beveiligingsgaten in iOS en Android. Met de ontdekking wonnen Richard Zhu en Amat Cama een bedrag van 50.000 dollar. Ze hebben hun ontdekking inmiddels doorgespeeld naar Apple, maar een oplossing voor de exploit is er nog niet. Het duo demonstreerde tijdens de wedstrijd hoe je een zojuist gewiste foto van een iPhone X met iOS 12.1 kunt terughalen. Ze gebruikten daarbij de Safari-webbrowser van Apple. Het prijzengeld werd beschikbaar gesteld door sponsor Trend Micro’s Zero Day Initiative.
Verwijderde foto’s terughalen
De twee opereren onder de naam Fluoroacetate. Zij maakten met de iPhone X verbinding met een kwaadaardig Wi-Fi-toegangspunt en waren vervolgens in staat om het bestand uit het geheugen van de iPhone X te halen. Met een dergelijke aanval zou je in theorie een onbeperkt aantal gewiste bestanden kunnen achterhalen, meldt Forbes. Hoe wel de demo op een iPhone X werd getoond, is het aannemelijk dat het op elk apparaat met iOS 12.1 werkt omdat de bug softwarematig is.
De foto die het duo van de iPad haalde was al gewist en stond in de ‘Recent verwijderd’-map van de Foto’s-app. Daar blijven foto’s 30 dagen staan, zodat je ze eventueel nog kan terughalen. Als je wilt kun je deze foto’s handmatig verwijderen uit het album.
Apple is op de hoogte van de bug en zou werken aan een oplossing, die in een toekomstige iOS-update beschikbaar komt. Uiteraard lees je op iCulture meteen zodra je deze update kunt installeren. Het team Fluoroacetate was dit jaar erg succesvol; ze sleepten in totaal $215.000 aan prijzengeld in de wacht tijdens Pwn2Own. Zhu is al jarenlang iOS-hacker en liet ook vorig jaar weer enkele opvallende exploits zien.
Loop je als gebruiker nu gevaar? Niet direct, want er is fysieke toegang tot je iPhone nodig om de foto’s en eventueel andere bestanden te achterhalen. Wel is het zo dat de onderzoekers waarschuwen dat dezelfde methode ook mogelijk is via een Wi-Fi-netwerk, waardoor iemand vlakbij er misbruik van zou kunnen maken. Het is daarom onverstandig om zonder extra beveiliging zomaar verbinding te maken met openbare netwerken, maar gelukkig weten de meeste gebruikers dat wel.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Apple brengt iOS 18.4.1 en meer uit: meerdere problemen opgelost (waaronder een CarPlay-bug) (16-04)
- Apple brengt tweede beta van iOS 18.5 en iPadOS 18.5 voor ontwikkelaars uit (en eerste voor publieke testers) (14-04)
- Gerucht: 'iPadOS 19 wordt meer als macOS dankzij deze drie verbeteringen' (14-04)
- De belangrijkste iOS 19-geruchten: dit is er al gezegd over Apple’s volgende grote iPhone-update (09-04)
- 'Nieuwe gelekte beelden van iOS 19 geven een indruk van het nieuwe uiterlijk' (08-04)
Ik maak nooit gebruik van openbare netwerken, zelfs niet eens het bedrijfsnetwerk. Ik hoef geen pottenkijkers.
Er is geen fysieke toegang nodig, alsook heeft het geen nut om je te beveiligen alvorens een wifi verbinding te maken, een VPN helpt je hier niet tegen.
Op de 2de dag is er ook een hack onthuld via de browser, zie hier.
Hoe kan je een onbeperkt aantal gewiste bestanden terug halen, daar hoort het mapje “recent gewist” niet bij vind ik, want dat is gewoon een tijdelijk mapje wat ze na 30 dagen wel definitief wist…als ik het recent gewist mapje leegmaak, en ze door foto’s terug kunnen halen vind ik het pas nieuws. En verbinding maken met een wifi(man in the middle aanval) dat is toch al jaren bekend
@Eric: Ik snap er ook niks van eigenlijk, die map is er toch voor om nog dingen terug te halen.
Je kan in deze map gewoon alle tot 30 dagen oud verwijderde foto’s terug halen.
Ik kan gewoon een AP met bekende ssid aanmaken en neerzetten in de buurt van de ssid’s. Jouw telefoon kan dan gewoon connecten aan deze fake ssid zonder dat jij dat door hebt. Als het wpa-2 is kan ik eerst zelfs nog proberen achter de PIN te komen zodat ik mijn fake ssid ook kan instellen met het wachtwoord van de originele.
Geeft een VPN hier geen bescherming voor? Dat dacht ik altijd..
Per definitie waande ik me veilig met een iPhone maar dat kan toch vies tegenvallen. Ik zag laatst een uitzending van internetoplichting. Ze zochten waar iemand verbleef. Het lukte om de persoon via WhatsApp op een link te laten drukken. Vanaf dat moment werd continu zijn locatie doorgestuurd. Ook werd er via de front camera een selfie gemaakt en doorgezonden. Ik dacht nog ‘Tja, Android, wat wil je ook’…… Tot er even later bekend werd gemaakt dat de gezochte persoon een iPhone bezat 😳🤔. Hier schrok ik toch wel van, had nooit verwacht dat dit mogelijk was op het ‘gesloten’ iOS systeem.
Veel succes, heb namelijk nooit WiFi aan staan
Daar maak je al de fout, Whatsapp is en de boosdoener,en weet niet hoor maar ga je zomaar een app openen van een onbekende?
Trouwens ,locatie staat bij Whatsapp bij voorbaat altijd uit bij mij! Zeker sinds ze van Facebook zijn. Er zijn maar paar apps die in toestemming geeft