'Lek in iOS laat kwaadwillende niet-verwijderbare sms'jes sturen' -update

Een lek in iOS laat een kwaadwillende niet-verwijderbare push-notificaties sturen naar iPhones, zo claimt een Zweedse ontwikkelaar. Details over de kwetsbaarheid in iOS ontbreken vooralsnog. Apple zou 'geen interesse' getoond hebben in het lek.

De ontwikkelaar, ene Roman Digerberg die een gps-tracker voor de iPhone aan het maken was, zegt tegen de Zweedse ict-site Techworld dat hij de kwetsbaarheid toevallig op het spoor kwam toen hij per ongeluk een berichtje stuurde naar zijn iPhone en die vervolgens niet kon verwijderen.

Het lek geeft kwaadwillenden de mogelijkheid om sms'jes naar iPhones te sturen die altijd op het lockscreen verschijnen en niet verwijderd kunnen worden. Ook claimt de ontwikkelaar dat hij bij apps een willekeurig aantal push-notificaties kan laten verdwijnen en verschijnen. Daarnaast kan hij een simkaartfout veroorzaken waardoor de gebruiker zijn iPhone zal moeten herstarten.

Digerberg zegt Apple ingelicht te hebben, maar claimt dat de fabrikant 'geen interesse' toonde in het lek dat hij aandroeg. Daarop besloot hij de publiciteit te zoeken. De kwetsbaarheid die Techworld omschrijft zit meest waarschijnlijk in de manier waarop iOS bepaalde soorten berichten afhandelt.

Het is onduidelijk of de claims van de Zweedse ontwikkelaar kloppen. Digerberg heeft diverse webshops, maar is niet bekend als ontwikkelaar. Tweakers heeft contact gelegd met de ontwikkelaar, die zegt dat hij binnen enkele uren met nadere informatie komt.

Update, donderdag: De ontwikkelaar zegt tegen Tweakers dat een exploit van de kwetsbaarheid 'erg eenvoudig' is: "Ik heb een programma gemaakt dat berichtjes stuurt in een niet-standaard sms-formaat. Ik kan je voicemail aan- en uitzetten en willekeurige text naar je scherm sturen." De ontwikkelaar gaat niet in op vragen over hoe de kwetsbaarheid technisch in elkaar zet. Hij herhaalt wel dat hij 'nul procent antwoord' kreeg van Apple, toen hij de bug meldde.

Lek in iOS toont willekeurig aantal pushberichten Lek in iOS toont niet-verwijderbare notificatie op lockscreen

Reacties (105)

Anoniem: 16328 12 februari 2014 16:44

Het is onduidelijk of de claims van de Zweedse ontwikkelaar kloppen.

Goed nieuws weer! Verder geen bronvermelding naar het originele artikel. Verder is het ook interessant om te weten hoeveel tijd hij Apple heeft gegeven voordat hij de publiciteit heeft gezocht.

_{"Biderberg buit diverse webshops uit, maar is niet bekend als ontwikkelaar."

Dat is niet zo cool dat hij webshops uitbuit .

Edit: kon al niks over die gast vinden op Google blijkt dat hij Digerberg heet .}

[Reactie gewijzigd door Anoniem: 16328 op 24 juli 2024 22:47]

Keypunchie

Apple
Apple iPhone 4S

@Anoniem: 16328 • 12 februari 2014 16:58

Het originele artikel was even zoeken, maar volgens mij is dit het:
https://techworld.idg.se/...-enkelt-hackar-han-iphone

Mijn zweeds is alleen niet zo goed, dus kan er niet veel van maken. Hier heeft iemand een vertaling naar het Engels gedaan:
https://news.ycombinator.com/item?id=7224005

@arnoudwokke
Oeps, overheen gelezen denk ik.

[Reactie gewijzigd door Keypunchie op 24 juli 2024 22:47]

Auteur

arnoudwokke Redacteur Tweakers @Anoniem: 16328 • 12 februari 2014 16:57

Ah, dank, de typfoutjes zijn gefixt. Bronvermelding staat in de eerste zin, onder het woord 'zegt'

Anoniem: 16328 @arnoudwokke • 12 februari 2014 17:04

Kun je hier wat over toevoegen? Op https://techworld.idg.se/...-han-iphone/sida/2/sida-2 staat (volgens Google Translate):

He explains, without going further into the technical details, it's about manipulating classes in the message structure. Except he can send messages that can not be avoided and manipulating figures for the number of messages, he says that he also managed to lock a phone altogether and requires a restart to eradicate it.

[Reactie gewijzigd door Anoniem: 16328 op 24 juli 2024 22:47]

Anoniem: 120693 @Anoniem: 16328 • 12 februari 2014 17:45

En waarom ook niet even Apple om commentaar gevraagd? Ik neem aan dat Tweakers daar wel een telefoonnummer van heeft.

watercoolertje

Tablets
Apple iPhone 4S
Smartphones
Apple iPhone
Apple iPad
Apple
Apple iPhone 5s

@Anoniem: 16328 • 12 februari 2014 16:52

_{"Biderberg buit diverse webshops uit, maar is niet bekend als ontwikkelaar."

Dat is niet zo cool dat hij webshops uitbuit .}

Dat is gewoon de juiste verwoording hoor

Uitbuiten heeft best veel betekenissen...

Mensen zoek dan op wat uitbuiten betekend, dat tweakers het heeft aangepast bewijst niet dat uitbuiten niet goed was hoor

UITBUITEN
1) Benutten 2) Beroven 3) Exploiteren 4) Ontdoen 5) Profiteren 6) Profiteren van 7) Uitbaten Uitknijpen 9) Uitpersen 10) Uitzuigen 11) Uitmelken 12) Uitkleden

[Reactie gewijzigd door watercoolertje op 23 juli 2024 10:12]

PhoenixT @watercoolertje • 12 februari 2014 16:55

Nee, je verwart uitbuiten met uitbaten.

Anoniem: 286841 @watercoolertje • 12 februari 2014 16:56

Uitbaten heet dat dan.

MacD @watercoolertje • 12 februari 2014 16:56

Is het dan niet 'uitbAten'?

aap @watercoolertje • 12 februari 2014 16:58

Ik denk toch echt dat uitbaten bedoeld was

watercoolertje

Tablets
Apple iPhone 4S
Smartphones
Apple iPhone
Apple iPad
Apple
Apple iPhone 5s

@aap • 12 februari 2014 17:05

Denk ik ook, staat ook netter, maar uitbuiten is alsnog niet fout...

Uitbuiten is je profijt nemen ten koste van een ander, dat is precies wat elke (web)winkel doet, die winst komt uit de zak van de mensen die er wat kopen he

Exploiteren is net z'n woord wat ook vaak als negatief gezien wordt, maar komt op hetzelfde neer als uitbuiten. En kan zowel negatief als positief gebruikt worden.

[Reactie gewijzigd door watercoolertje op 24 juli 2024 22:47]

robenroute @watercoolertje • 13 februari 2014 15:44

Dan is het dus precies niet wat elke webshop doet: het gaat niet ten koste van de klant, de klant krijgt er immers wat voor terug (het gekochte).

Zenety 12 februari 2014 16:45

Mag wel "Gerucht" bij de topic naam komen. Geen enkel bewijs behalve een paar plaatjes. Als dit echt werkt is dit natuurlijk wel een behoorlijk lek. Apple zal dan ook wel snel op zoek gaan hoe dit kan.

Iemand die mij kan uitleggen waarom je een SMS niet zou kunnen verwijderen?

diabolofan @Zenety • 12 februari 2014 16:49

Een gerucht aanduiden gebeurd door middel van de aanhalingstekens in de titel..

Wanneer Apple het markeert met 'geen interesse' zal de hack vast moelijk uit te voeren zijn, en dus niet 'toevallig' optreden zoals Roman stelt. Wanneer het wel door derden te misbruiken is en het blijft genegeerd worden door Apple kan dit een leuke nieuwe manier van adverteren opleveren..

Anoniem: 16328 @Zenety • 12 februari 2014 16:55

Op een andere site denkt iemand dat je de SMS in een bepaald format moet zijn verzonden. Dit zou kunnen maar dan weet ik nog steeds niet hoe want het SMS format is gestandaardiseerd. Zie: http://en.wikipedia.org/wiki/GSM_03.38 en http://en.wikipedia.org/wiki/SMS Edit: Misschien heeft het iets te maken met die speciale Zweedse tekens bij bepaalde letters..

Edit meer info uit het originele artikel via Translate van Google

He explains, without going further into the technical details, it's about manipulating classes in the message structure. Except he can send messages that can not be avoided and manipulating figures for the number of messages, he says that he also managed to lock a phone altogether and requires a restart to eradicate it.

[Reactie gewijzigd door Anoniem: 16328 op 24 juli 2024 22:47]

Gadgeteer 12 februari 2014 16:58

Ik ben zelf geen apple fan maar het gaat te ver om nu opeens Apple af te kraken omdat er in IOS7 wat bugs gevonden zijn, dit gebeurt in IEDER OS.

Wat ik wel vreemd vind is dat Apple geen openlijke reactie geeft op dit bericht. Ook als het niet echt blijkt te zijn moeten ze toch iets doen aan berichtgeving om te voorkomen dat dit klanten gaat kosten?

RaJitsu @Gadgeteer • 12 februari 2014 18:59

Het is natuurlijk wel altijd een idee geweest achter Apple's aanpakt van de communicatie achter lekken in iOS. Omdat je er weinig over hoorde, kon men het communiceren als een veilig OS. Ik vind deze berichten wel nieuwswaardig omdat het 'opvallend' - gehalte hoog blijft, en tweakers.net sowieso de verantwoordelijkheid heeft om mensen geïnformeerd te houden over de stand van zaken in de telefoonindustrie.

Of denk jij dat ze moedwillig wel over iOS-lekken en overige zwaktes rapporteren en niet over WP en Android?

Gadgeteer @RaJitsu • 13 februari 2014 09:14

RaJitsu, mocht mijn reactie dat idee hebben gewekt -> nee.

Ik reageerde ook meer op de tweakers die hier opeens iOS begonnen af te kraken en niet op het bericht zelf. UIteraard is het bericht nieuwswaardig, het is juist belangrijk dat dit soort nieuws bekend wordt.

Zoals ik al aangaf valt het me wel tegen dat Apple zelf niet reageert. We hebben nu een bericht wat nog niet geverifieerd is. Volgens mij moet Apple daar iets mee doen om imagoschade te voorkomen, dat is wat ik probeerde aan te geven.

TimmiX 12 februari 2014 18:01

Blijf me verbazen dat mensen die dit soort bugs vinden, dit niet gewoon netjes melden aan Apple, zodat zij het simpelweg kunnen verhelpen. Zo zou het moeten en is iedereen tevreden.

Schijnbaar vinden mensen het leuk om dit enorm op te blazen en dit publiekelijk maken waarna de media/bligs/social media er weer op duiken alsof het een schande is. Echt jammer dat dit tegenwoordig zo moet gaan.

Programmeren is en blijft mensenwerk en er kunnen altijd quirks/bugs ontstaan en achterblijven. Aangezien het nu pas, na maanden, wordt opgemerkt zegt in principe al genoeg.

Anoniem: 16328 @TimmiX • 12 februari 2014 18:04

Anders lees je gewoon het bericht.

Digerberg zegt Apple ingelicht te hebben, maar claimt dat de fabrikant 'geen interesse' toonde in het lek dat hij aandroeg. Daarop besloot hij de publiciteit te zoeken.

TimmiX @Anoniem: 16328 • 12 februari 2014 19:05

Ik heb het artikel gelezen. Ik had het alleen niet helemaal correct (compleet) verwoord.
Er zijn een aantal berichten naar buiten gekomen van mensen die een bug hebben gevonden en het niet hebben gemeld bij Apple. Zij hebben dit diredirect publiekelijk gemaakt, niet met het doel om de bug te verhelpen, maar om aan te tonen dat iOS fouten bevat.

In dit geval, waarbij Apple zelf al aangeeft dat het niet 'interessant' genoeg is en dus geen prioriteit krijgt, vind ik het alsnog kenmerkend. Het gaat namelijk niet eens om de smsjes, maar hier wordt nu wel de focus op gelegd. Het gaat dus helemaal niet meer om de bug zelf, maar het feit dat hij een bug heeft gevonden waar Apple niets mee doet.

Al met al niet echt nodig in mijn ogen, maar ik kan het mis hebben. Als Apple al op de hoogte is en er geen probleem in ziet, is de cirkel toch rond. Waarom hier dan nog ophef over maken?

Anoniem: 51637 @TimmiX • 13 februari 2014 08:36

Als Apple al op de hoogte is en er geen probleem in ziet, is de cirkel toch rond. Waarom hier dan nog ophef over maken?

Omdat het niet de softwaremaker is die bepaalt of iets een probleem is, maar de gebruiker?

TimmiX @Anoniem: 51637 • 13 februari 2014 11:05

Ben ik het niet mee eens. Apple is en blijft de eigenaar en beheerder van iOS, dus zij hebben het voor het zeggen. Als zij een beslissing maken over iets, of het nu om het oplossen van een bug gaat of om een nieuwe feature request.

Daar heeft de klant het maar mee te doen. Dat is toch bij alle bedrijven zo?

Anoniem: 51637 @TimmiX • 13 februari 2014 11:21

Als zij een beslissing maken over iets, of het nu om het oplossen van een bug gaat of om een nieuwe feature request.

Uiteraard bepalen zij of ze middelen gaan inzetten om iets nieuws te maken of een probleem te verhelpen. Maar als ik iets een probleem vind, vind ik het een probleem, ongeacht of Apple er iets mee doet of niet. Dat Apple het niet interessant vind maakt het probleem voor mij niet kleiner (even voor de goede orde, ik heb van dit specifieke geval helemaal geen last, dus voor mij is het sowieso geen probleem, maar het gaat om het idee).

Daar heeft de klant het maar mee te doen. Dat is toch bij alle bedrijven zo?

Dat is een manier, inderdaad - met enige nuance, want een klant mag volgens de wet een redelijke verwachting hebben van wat het produkt wel of niet kan of doet, en als het dat niet doet (vanwege een bug, bijvoorbeeld) heeft Apple wel degelijk de plicht daar iets aan te doen of de klant zijn geld terug te geven.

Een andere manier is de klant wel te helpen, ofwel door het probleem te verhelpen of hem ervan te overtuigen dat het geen probleem is. Domweg roepen 'pleur op, niet zeiken' (of gewoon maar helemaal negeren, wat hier gebeurd schijnt te zijn) is nou niet echt mijn idee van klantvriendelijkheid

[Reactie gewijzigd door Anoniem: 51637 op 24 juli 2024 22:47]

TimmiX @Anoniem: 51637 • 13 februari 2014 11:42

Daar ben ik het mee eens.

Ben daarom ook wel benieuwd naar de reactie van Apple op zijn melding. Ik denk dat deze ook een stuk genuanceerder zou zijn verwoord dan dat dit artikel doet vermoeden.

Dat is één van de redenen waarom ik enigszins moeite heb met dit soort artikelen. Het belicht altijd grotendeels één partij, waardoor de andere partij in een kwaad daglicht wordt gezet. Voor de zorgvuldigheid hadden we Apple`s reactie er ook bij moeten hebben om een goed oordeel te kunnen geven. Ik vermoed dat ze het best netjes afgehandeld hebben.

Jammer dat iemand daar dan geen genoegen mee neemt, en vervolgens zijn frustraties openbaar maakt.

Zo`n verhaal heeft altijd twee kanten.

CloakedEddy 12 februari 2014 17:01

In mijn ogen is iOS 7 relatief gezien best buggy.
Met iOS 4, 5 en 6 heb ik op mijn iPhone 4 een iPad 3 zeer zelden een crash/reboot meegemaakt (hoogstens een keer of drie). Met iOS 7 crasht mijn iPad 3 en iPad Air minstens elke week een paar keer. Dan heb ik het nog niet eens over de frequente rare interface glitches.

Dat gezegd hebbende vind ik dit artikel weinig toevoegen. Zonder bewijs zijn het gewoon beweringen van een persoon waarvan Tweakers zelf ook opmerkt dat hij niet bekend is als ontwikkelaar.

Ik kan me voorstellen dat Apple er niet op ingaat omdat ze de lekken al gedicht hebben in iOS 7.1 (die binnen anderhalve maand beschikbaar zal zijn). Daar zullen een hoop bugfixes in te zitten.

Thc_Nbl 12 februari 2014 17:01

en logisch dat Apple niet reageerd, het is oud nieuws voor hun.
Deze bug zit al in 7.0.2

...
ow en dat staat gewoon op het forum van apple.

[Reactie gewijzigd door Thc_Nbl op 24 juli 2024 22:47]

iAdema 12 februari 2014 17:01

Heb toevallig ook een vastzittende melding op dit moment. Een gemiste oproep die niet wil verdwijnen uit het notification centre. Maar het was wel een echte gemiste oproep.

izzet3838 12 februari 2014 17:02

Ik vind dat apple een hele grote fout heeft begaan door de bugmelding niet als prioriteit te beschouwen.
Maar natuurlijk is het ook belangrijk of de bug wel echt is misschien heeft apple de bug onderzocht en gezien dat het niet corect is en daarom bovenstaand persoon geen reactie gegeven heeft.
Het zou handig zijn als er een video ofzo bij zou zijn als beweis.
Apple ontvangt waarscheinlijk duizenden meldingen waarvan een heel groot deel nutteloos zijn.
En zal waarscheinlijk niet op elke melding reageren.
Dus misschien klopt de bug niet en heeft apple dit daarom gewoon onbeantwoord gelaten.
Dus zolang ik geen duidelijk beweis zie en een goede bronvermelding weet ik niet of ik dit wel geloof of niet.

TheMadd 12 februari 2014 17:39

Stiekem ben ik best benieuwd naar de manier waarop je voor die reactie kunt zorgen, maar ik geef de meerderheid gelijk! Mocht deze lek of bug, hoe je het ook wilt noemen, echt zijn dan is het inderdaad iets wat Apple zo snel mogelijk moet oplossen

Herko_ter_Horst

12 februari 2014 18:31

Even voor de duidelijkheid: het gaat dus niet om SMS'jes (zoals in de titel en op een aantal plekken in de tekst staat), maar om Apple-specifieke Push-notificaties (da's iets heel anders).

Op dit item kan niet meer gereageerd worden.

'Lek in iOS laat kwaadwillende niet-verwijderbare sms'jes sturen' -update

Lees meer

Reacties (105)

Sorteer op:

Weergave: