| Cult van Mac

Een van de grootste kopers van iOS zero-day exploits zegt dat de markt wordt overspoeld met nieuwe iPhone-bugs als gevolg van verzwakte beveiligingscomponenten in Safari en iMessage.

Nulodium, dat $ 2 miljoen betaalt voor iOS-exploits, heeft onlangs aangekondigd dat het zijn uitbetaling voor Android-exploits verhoogt tot $ 2,5 miljoen. iOS was vroeger het meest vergrendelde mobiele besturingssysteem, maar volgens het bedrijf is de beveiliging van Android is verbeterd met elke nieuwe OS-release, terwijl iOS verslapte, wat leidde tot een overvloed aan nieuwe exploits.

De iOS- en macOS-kwetsbaarheden die zijn onthuld door de nieuwste WikiLeaks-gegevensdump van de CIA-hacktools zijn al gerepareerd.

Apple zegt dat een vroege evaluatie van de informatie die door WikiLeaks is vrijgegeven, geen nieuwe bugs of aanvallen heeft gevonden die op iPhone- of Mac-gebruikers kunnen worden gebruikt. Sommige van de exploits in de lekken konden toegang verlenen tot de oproeplogboeken en sms-gesprekken van een iPhone, maar alleen als de CIA fysieke toegang tot het apparaat had.

De deadline voor Zerotium's iOS 9 bug bounty officieel eindigde vorige maand, en het bedrijf heeft vandaag aangekondigd dat één team erin is geslaagd om de miljoen dollar te claimen prijs door een onwaarschijnlijke hack te bieden waarmee aanvallers op afstand de nieuwste iPhone-besturing kunnen jailbreaken systeem.

Het lijkt erop dat de arrogantie van Apple zijn gebruikers in de weg staat om zijn gebruikers te beschermen tegen een langdurige sms-exploit die potentiële hackers in staat zou kunnen stellen een antwoord te vervalsen nummer, waardoor de ontvanger denkt dat hij/zij een legitiem contact beantwoordt, terwijl hun informatie in werkelijkheid wordt verzonden naar de aangewezen hackers adres. Zoals je je kunt voorstellen, is dit behoorlijk lastig, maar Apple heeft het weggepoetst ondanks talloze pleidooien van een bekende iOS-hacker (pod2g):

Het instellen van een toegangscode voor uw iOS-apparaat is een van de eerste stappen die u kunt nemen om uw gegevens veilig te houden. Het voorkomt toegang tot uw apparaat en blokkeert onbevoegde gebruikers de toegang tot uw persoonlijke gegevens, foto's, contacten, berichten en al het andere dat u erin hebt opgeslagen.

Dat wachtwoordslot is echter nutteloos als het wordt geconfronteerd met een stukje software genaamd XRY van het Zweedse beveiligingsbedrijf Micros Systemation. Met XRY kunnen uw persoonlijke gegevens, oproeplogboeken, GPS-locatiegegevens, contacten en zelfs toetsaanslagen allemaal in minder dan tien minuten worden geëxtraheerd en gedecodeerd.

Ondanks een bericht dat Pod2g eerder deze week op Twitter plaatste, suggereerde dat een ongebonden jailbreak voor de iPhone 4S minder dan een week verwijderd van openbare release, een nieuwe blogpost waarin het proces van de iOS-hacker wordt beschreven, geeft aan dat de exploit nog weken kan duren.

Pod2g heeft onthuld dat zijn nieuwe exploit een ontwikkelaarsaccount vereist om de benodigde bestanden op je apparaat te injecteren, en totdat hij een manier vindt om dit te omzeilen, zal de hack geen openbare release zien.

Als het gaat om het hacken van Macs, zijn er maar weinig beveiligingsexperts die gevaarlijker zijn dan Charlie Miller, die dat kan hack een Mac in slechts enkele seconden. Gelukkig gebruikt Miller zijn hackkracht alleen voor het goede, dus zijn hacks leiden vaak tot veiligere systemen voor jou en mij.

Laten we hopen dat dit het geval is voor de nieuwste kwetsbaarheid die Miller voor het iOS-platform heeft geïdentificeerd. Hij heeft een enorme bug in iOS ontdekt waardoor kwaadwillende ontwikkelaars onschadelijk ogende apps kunnen schrijven die aan de app voorbij glippen Winkelbeoordelingsproces, alleen om naar huis te bellen naar een externe computer en alle normale iOS-functies opnieuw te gebruiken voor kwaadwillenden loopt af.