Pwn2Own 2011: Ook iPhone 4 valt ten prooi aan hackers
Tijdens de jaarlijkse Pwn2Own hackerswedstrijd bij de CanSecWest conferentie is ook de iPhone ten prooi gevallen. Net voor de start van het evenement bracht Apple nog updates uit in de vorm van Safari 5.0.4 en iOS 4.3, maar voor de wedstrijd mocht nog gebruik gemaakt worden van iOS 4.2.1. Eerst werd Safari 5.0.3 op de MacBook gehackt, later ook de iPhone 4 met iOS 4.2.1. Voor een succesvolle hack was het nodig dat er (voor kwaadwillenden) bruikbare data van de iPhone werd verkregen met weinig tot geen tussenkomst van de gebruiker.
De winnaars Charlie Miller (@0xcharlie), Dion Blazakis (@dionthegod) en Dan Caselden (@dancaselden) wisten met behulp van een exploit voor MobileSafari het adresboek van de iPhone 4 te bemachtigen. Voor de hack was alleen vereist dat een gebruiker een geprepareerde website bezocht. Hoewel de kwetsbaarheid waar gebruik van gemaakt wordt ook in iOS 4.3 aanwezig is, zou de hack daar (zonder verdere exploits) niet op gewerkt hebben door de toevoeging van ASLR.
De wedstrijd levert de hackers in totaal een prijs op van $20,000 dollar in contanten op en een iPhone 4 (naast enkele andere voordelen zoals een verzorgde reis naar de DEFCON conferentie in Las Vegas). Dit jaar is het ook mogelijk om een over-the-air aanval uit te voeren op de baseband (modemfirmware) van de diverse toestellen, dankzij de hierboven getoonde RF-behuizing. Vorig jaar werd de iPhone 3GS op iOS 3.1.3 ook al gehackt op Pwn2Own met behulp van een userland-exploit. De details van de hack worden – conform de regels van Pwn2Own – niet bekend gemaakt totdat er een patch beschikbaar is, maar zijn al wel bekend gemaakt aan Apple.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Aan de ene kant goed dat Apple ze kan zodat ze niet in kwaad willende handen vallen maar aan de andere kant was een JB zoals jailbreakme.com wel erg handig!
Ja, maar ik heb liever een veilige iPhone. Ze zullen toch wel een exploit vinden :p
Laten we niet de illusie hebben dat er een computersysteem is dat niet gehackt kan worden.
Zodra er een patch is, wordt bekend gemaakt wat de zwakke plek is?!?
Dus met een 3G waarop geen update naar 4.3 mogelijk is, ben je aan de goden overgeleverd.
Good thinking, Mr. Jobs.
Leuk dat het kan, bang moet je er helemaal niet voor zijn.
“dankzij de hierboven getoonde RF-behuizing”
Ik vind dit apparaat toch wel het meest indrukwekkende van allemaal. Ik heb géén idee wat dat is, een “RF-behuizing”… Ik dacht bij het zien van de foto aan iets waarin nucleair materiaal wordt bewerkt. 😉
Jep… De eerste ipod touch en de dacht ook nog de iphone 2g zijn blijven hangen op 3.1.3… Waar jailbreakme nog op kan
Ben het er ook niet mee eens laat dat duidelijk zijn, een klein servicepackje kan er nog niet eens vanaf
Volgens mij is de RF-behuizing in kwestie een ‘case’ waarin de iPhone wordt gelegd zodat die afgeschermd is van radiosignalen/wifi e.d. van buitenaf. Dit is dan waarschijnlijk om ‘valsspelen’ te voorkomen(en uiteraard om te bewijzen dat hun exploit daadwerkelijk werkt).
En jij hebt het idee dat er geen 4.2.2 uit zal komen?
Denk je dat op andere modellen dan IPhone dit niet megelijk is!!!
@Pieter: Nee, dat denk ik niet nee. Jij wel?
Ik denk dat de support voor de 3G aan het eind gekomen is en dat alle aandacht naar gangbare modellen gaat. Dat denk ik.
@Frankie: Als het een serieus beveiligingslek is kun je er wel vanuit gaan dat Apple een update voor alle versies van iOS beschikbaar stelt
THX!
Toch wel gek dat de iPhone elk jaar de lul is. Een android en WP7 er dit jaar ongeschonden vanaf kwamen…
Een iPhone zit gewoon vol met exploits. Vanaf het begin al.