Lek in iOS 6 maakt diefstal van foto's en video's mogelijk

Door: Wouter Hoeffnagel | 20 september 2012 14:09

Apple

De browser Safari in iOS 6 bevat een beveiligingslek die het mogelijk maakt onder andere foto's en video's van gebruikers te stelen. Hackers kunnen een website voorzien van speciaal geschreven JavaScript, waardoor de gegevens van de bezoekers kunnen worden gestolen.

Het beveiligingslek is door de Nederlandse beveiligingsonderzoekers Joost Pol en Daan Keuper van Certified Secure ontdekt tijdens de Pwn2Own-hackwedstrijd in Amsterdam. Het lek werd in eerste instantie aangetroffen in Safari op iOS 5.1.1, maar bleek ook te aanwezig in de Golden Master (GM)-versie van iOS 6. Aangezien de GM-versie van een iOS-besturingssysteem doorgaans gelijk is aan de definitieve versie is het beveiligingsgat waarschijnlijk ook in iOS 6 aanwezig.

Adresboek en surfgeschiedenis

Naast foto's en video's is het ook mogelijk het adresboek en de surfgeschiedenis van gebruikers te bemachtigen. De gestolen gegevens werden verstuurd naar een eigen servers van Pol en Keupers, waarna deze uitgelezen konden worden. Pol zegt tegen Tweakers dat de hack sowieso werkt op de iPhone 4S en waarschijnlijk ook bruikbaar is op de iPhone 5.

Tweakers schrijft dat het beveiligingslek is gebaseerd op een kwetsbaarheid in de 'just in time'-compiler van Safari, die Javascript vertaalt naar machinecode. Hackers kunnen een JavaScript aanbrengen op een website die wordt afgespeeld zodra de website wordt geladen. Het bezoeken van een geïnfecteerde website is dus voldoende om slachtoffer te worden van de hack.