Twee iPhone-beveiligingslekken gepubliceerd
Beveiligingsonderzoeker Aviv Raff ontdekte drie maanden geleden twee beveiligingslekken in de iPhone. Deze wilde hij pas openbaar maken als Apple deze twee lekken in een firmware-update eruit zou halen. Omdat dit volgens hem best makkelijk op te lossen is, maar Apple hier tot op heden niets aan gedaan heeft, heeft hij ze nu alsnog in de openbaarheid gebracht. Beide lekken hebben vooral met de Mail-applicatie te maken, maar een daarvan kan ook in Safari voorkomen.
Meer bepaald gaat het in een van de gevallen hoe de iPhone hyperlinks weergeeft. Zo zou er als tekst bijvoorbeeld ‘http://www.facebook.com’ gebruikt kunnen worden, waardoor de gebruiker denkt naar Facebook te gaan. Bij de iPhone kun je een link ingedrukt houden om de locatie ervan te zien, maar door een lang subdomein te gebruiken, wordt de helft van de link weggelaten. Hierdoor wordt de gebruiker alsnog misleid en kan hij op een kwaadwillige pagina uitkomen.
Het tweede lek heeft specifiek met de Mail-applicatie te maken. In e-mailberichten worden afbeeldingen automatisch geladen, zonder de gebruiker een keus te laten, zoals tegenwoordig meer gebruikelijk is. Door alle afbeeldingen standaard te laden kan een verzender met (bijvoorbeeld) een onzichtbare pixel achterhalen of de e-mail is gelezen (en dus geldig is) en kunnen spammers jou vervolgens belagen met irritante mailtjes.
Via: Security.nl, Aviv.raffon.net
Tipgever: Michiel
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 19 reacties