Niet gejailbreakte iPhone/iPod touch ook kwetsbaar voor malware

Gebruikers die denken dat hun privacy geen gevaar loopt zolang ze hun iPhone of iPod touch niet jailbreaken komen bedrogen uit. De Zwitserse iPhone-ontwikkelaar Nicolas Seriot heeft een presentatie gegeven, waarin hij een aantal risico’s op een rijtje heeft gezet waar ook eigenaren van een niet gejailbreakte iPhone of iPod touch mee te maken kunnen krijgen. De broncode van zijn proof of concept SpyPhone heeft hij vrijgegeven en het risico bestaat dan ook dat kwaadwillenden hier op korte termijn hun slag mee zullen proberen te slaan.

In de presentatie geeft Seriot eerst een overzicht van de historie van privacy-problematiek op de iPhone en iPod touch. Uit het overzicht blijkt dat de risico’s voor wél en niet gejailbreakte iPhones en iPods gelijk op gaan, met uitzondering van de risico’s die ontstaan als gebruikers zelf na het jailbreaken een SSH-service (bedoeld om op afstand op de iPhone in te loggen) installeren zonder het standaard wachtwoord te veranderen. Seriot bestrijdt in de presentatie de uitspraak van Sophos dat de iPhone daarom niet klaar zou zijn voor het gebruik in een bedrijfsomgeving met de woorden:

IMHO, this is not more clever as claiming that Linux is not ready for business since you can open SSH root access with an unsecure password…

Vervolgens beschrijft Seriot methodes waarmee privacygevoelige informatie verkregen kan worden via de App Store, zonder jailbreak, zonder het gebruik van zogenaamde private APIs (waarop tegenwoordig gefilterd wordt) en zelfs zonder het gebruik van een exploit. De informatie die verkregen zou kunnen worden omvat onder andere het mobiele telefoonnummer, persoonlijke bestanden, de zoekgeschiedenis van Safari en Youtube, je e-mailadres en e-mailinstellingen (met uitzondering van het wachtwoord), gegevens over je iPhone en simkaart, e-mailadressen van je contactpersonen, de keyboard cache (alles wat je ooit in een niet-paswoord-veld in hebt gevoerd), geotags van je foto’s, voorkeuren van de Google Maps applicatie, de locatie die je hebt ingesteld bij Weer en wanneer je met welke Wi-Fi-netwerk verbinding hebt gemaakt.

In een interview met BusinessWeek heeft de vice-president van Apple Phil Schiller eerder aangegeven dat op dit moment van de 10.000 applicaties die er iedere week worden ingediend, circa 700 spyware bevatten. Hoewel het review-proces een groot deel van de spyware eruit zal filteren, beschrijft Seriot methodes om dit te omzeilen zoals met behulp van een vertraagde activatie van de spyware of payloads die gebruik maken van encryptie. Vervolgens heeft Seriot in de presentatie een aantal aanbevelingen voor Apple, waarmee ze iPhone OS veiliger zouden kunnen maken (waaronder bijvoorbeeld een firewall voor dataverkeer naar buiten toe). Gebruikers raadt Seriot aan om geen applicaties te gebruiken die ze niet vertrouwen, hoewel dat natuurlijk gemakkelijker gezegd is dan gedaan. Ondanks de risico’s wijst Seriot er tot slot nog op dat het iPhone-platform volgens hem veiliger is dan de andere platforms.

Dat er nu al applicaties in de App Store te vinden zijn die ongevraagd (minder vergaande) privacygevoelige informatie versturen bleek al eerder toen het iPhone Dev Team waarschuwde dat Pinch Media ongevraagd locatiegegevens doorstuurde naar de eigen server. De maker van Cydia heeft vervolgens met hulp van BigBoss een applicatie genaamd PrivaCy uitgebracht voor gebruikers met een gejailbreakte iPhone of iPod touch om te voorkomen dat dergelijke privacygevoelige informatie wordt verstuurd.