iPhone-fout geeft hackers toegang tot recent verwijderde bestanden
Foto: Ste Smith/Cult of Mac
Twee hackers hebben zichzelf een premie van $ 50.000 uitgekeerd voor het ontdekken van een fout op de iPhone X, waardoor: het herstel van recent verwijderde foto's (en mogelijk andere informatie) die zogenaamd zijn verwijderd uit de apparaat.
De fout werd gevonden als onderdeel van de Mobile Pwn2Own-wedstrijd, die onlangs plaatsvond in Tokio. De twee hackers die het ontdekten waren Richard Zhu en Amat Cam. Ze hebben de informatie doorgegeven aan Apple, maar op het moment van schrijven bestaat deze nog steeds op iOS.
De kwetsbaarheid werd gevonden in de just-in-time (JIT) compiler van iOS. Een aanval kan worden uitgevoerd met behulp van een kwaadaardig wifi-toegangspunt, waardoor het een zogenaamd "coffeeshop-scenario" wordt voor hackers. Het maakt gebruik van de manier waarop Apple's systeem voor het verwijderen van bestanden werkt. Op iOS, wanneer een bestand wordt verwijderd, blijft het 30 dagen op het apparaat in een of andere vorm, voordat het volledig wordt verwijderd zonder kans op herstel.
Hoewel deze 30 dagen+ bestanden niet kunnen worden hersteld door hackers, zou het beveiligingslek hen toegang geven tot nieuw verwijderde afbeeldingen. Het is niet duidelijk of de hack ook van toepassing is op andere iPhones dan de iPhone X.
Apple's bug bounty
Hoewel deze uitbetaling afkomstig was van een bugbounty-programma van een derde partij, biedt Apple hackers ook de kans om een uitbetaling te verdienen als ze kwetsbaarheden op de Mac of iOS ontdekken. Het programma was gelanceerd in september 2016, en biedt beloningen tot $ 200.000.
Het programma is echter niet voor iedereen toegankelijk. In plaats daarvan is het een programma dat alleen op uitnodiging beschikbaar is en alleen beschikbaar is voor goedgekeurde onderzoekers die in het verleden bugs aan Apple hebben gemeld. Apple moedigt hackers aan om hun winst te doneren aan een goed doel.
Bron: Forbes