Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

De nieuwe firmware voor de iPhone, versie 2.2, dicht een ernstig veiligheidslek. Met drie regels html-code kon een websitemaker de iPhone zonder toestemming van de eigenaar onbeperkt met dure 0900-nummers laten bellen.

Het lek is ontdekt door medewerkers van het Fraunhofer Institut. De ontdekkers hebben Apple op de hoogte gesteld. De iPhone-maker heeft het probleem verholpen in firmware 2.2, dat vanaf vrijdag voor iPhone-bezitters te downloaden is.

Het lek was volgens de ontdekkers eenvoudig te misbruiken. Drie regels html-code konden ervoor zorgen dat een website de iPhone ertoe dwingt een willekeurig nummer te bellen. Dat nummer kan een gewoon telefoonnummer, maar ook een duur 0900-nummer zijn. De iPhone-bezitter kan het telefoontje niet afbreken en ziet alleen een grijs scherm. Door een mail of sms naar een iPhone-eigenaar te sturen, kan de website met de code onder de aandacht van iPhone-bezitters worden gebracht. Voor zover bekend is het lek niet actief misbruikt.

De nieuwe firmware brengt naast een oplossing voor het lek ook enkele functionele verbeteringen. Zo is Street View aan de Google Maps-applicatie toegevoegd en kunnen kleinere podcasts voortaan zonder tussenkomst van iTunes worden gedownload.

Ondertussen is over de nieuwe iPhone-applicatie van Google onduidelijkheid ontstaan. Google lanceerde deze week de applicatie met spraakgestuurde zoekopdrachten. Volgens it-blogger John Gruber maakt de Google-applicatie gebruik van api's waarvan Apple het gebruik verboden heeft. Google heeft de api van de nabijheidssensor gebruikt, maar de manier waarop - de nabijheidssensor is nodig om de spraakopdracht te starten - is niet mogelijk met de publieke api's, zegt Gruber. Het is onduidelijk of Apple dat heeft geweten, omdat de applicatie volgens de regels dan niet in App Store verkrijgbaar zou mogen zijn.

Video (FLVPlayer_Progressive_tcm105-112243.swf)
Moderatie-faq Wijzig weergave

Reacties (50)

Ik denk eigenlijk dat Google en Apple alle twee maar al te goed weten dat de API die gebruikt is niet voor de gewoone developers beschikbaar is. Apple en Google hebben immers al eerder samen aan applicaties voor de iPhode gewerkt en Google heeft er niets aan om een APP te maken die Apple vervolgens niet zou willen aanbieden nog heeft Apple er iets aan om een duidelijke next-gen applicatie voor hun telefoon niet toe testaan om een technische beperking in de voorwaarden.

Apple zal vast en zeker de ontberkende delen van de API vrij gaan geven als zij dat nodig vinden en zal tot die tijd alleen een beperkt aantal voor hun belangrijke spelers toegang bieden tot deze tools.

Wat betreft het lek... ik vind het maar wat vreemd dat Apple dit sort dingen mogenlijk heeft gemaakt en het hun niet zelf is opgevallen. Als developer moet je toch kunnen bedenken dat dit soort dingen mogenlijk zijn met de interface die je schrijft. En als QA tester moet je toch juist dit soort dingen onder zoeken, niet alleen of het standaard gedrag vertoont wordt maar juist ook of je het stuk kunt maken. Anders kun je net zo goed geen QA doen, wat er zijn maar weinig developers die zo slecht zijn dat hun software niet doet wat het zou moeten doen. Aan de andere kant zijn er nog vel minder developers wiens code niet op de een of andere manier dingen mogenlijk maakt die het niet mogenlijk zou moeten maken.
Jij weet niet welke 3 regels html het zijn, het kunnen regels zijn van 100 tekens btw.

Als je zelf heel modulair software gaat schrijven, ga je zelf merken dat er vaak lekken zijn. Want als je een module af hebt, en hij werkt zoals gevraagd, dan kijk je er niet meer naar om, als je dan een andere module ermee laat praten.
Als een devlopper nou dacht dat jou module voor de veilighied zorgde (centraal geregeld) dan hoef ik alleen maar wat rauwe gegevens door te sturen. En zo ontstaat een lek.

Dergelijke problemen zijn heel makkelijk op te lossen, maar ze komen veelvuldig voor als je alles in kleine modules programmeert.

Verder is het verboden dacht ik, dat apple api openbaar maakt voor 1 fabrikant, dat is concurentie vervalsing. MS heeft dezelfde problemen met hun api's, en geheimhouding. (denk aan mobilesync)
Soms lijken toepassingen simpel om te bedenken en had Apple dit dus kunnen testen, echter is het in de praktijk zo dat mensen vrij voor de hand liggende zaken missen. Ik weet ook van geen app die hier gebruik van maakt en dus hebben developers dit ook niet echt voor ogen gehad, waarschijnljik staat het niet eens in de documentatie.
Wat een ontzettend stomme fout van Apple, je kan dan wel dingen over het hoofd zien maar API's die gebruikt worden om te bellen moet je natuurlijk 100% afschermen.

Overigens is "ernstig beveilingslek" misschien wel lichtelijk overdreven. Het slachtoffer ziet wél dat er met zijn iPhone gebeld wordt maar kan het gesprek niet annuleren. Een logische eerste reactie is dan de telefoon uitschakelen, probleem opgelost.

Ook netjes van Fraunhofer dat ze dit (neem ik aan) eerst tijdig aan Apple hebben gemeld en hun de kans hebben gegeven het op te lossen en niet de "sensationele" weg hebben gekozen door naar de media te stappen. Een bericht over een "ernstig beveiligingslek" in de iPhone is als nieuwssite natuurlijk om je vingers bij af te likken.
Dit is wel degelijk ernstig: het is eenvoudig te verspreiden, kost de klant harde centen, en is bij andere telefoons niet mogelijk. En lang niet iedereen update de firmware direct (zeker niet al die jailbroken iPhones!).

Blijft bizar natuurlijk dat OS X als desktop OS een prima veiligheidsreputatie heeft, maar de iPhone (zeker vergeleken met andere smartphone OS'en) zo lek als een mandje is. Misschien moet Apple de iPhone kernel ook maar open source maken zoals die van OS X?

[Reactie gewijzigd door Dreamvoid op 21 november 2008 16:56]

Hoe kom je erop dat het zo lek als een mandje is... vind ik dan weer een hele typische uitspraak, dit soort fouten welke per ongeluk onderdeel zijn van een functie, komen in allerlei telefoon weleens voor, als je maar zoekt.
Misschien heb je gemist dat elke iPhone firmware tot nog toe al voor officiele verspreiding gehacked werd? Punt is dat deze functie (bellen van nummers in webpagina's) al jaren in andere smartphones zit en daar niet ge-exploiteerd wordt, en in de iPhone nu wel. Dan kan je wel impliceren dat "er nou eenmaal meer naar exploits gezocht wordt in de iPhone dan in bv een Blackberry" maar dat argument hoor ik over Windows ook al jaren.

Er zijn hacks die leuk zijn voor de gebruiker (jailbreaks etc) en hacks die minder leuk zijn (dit soort exploits). Maar het blijven allemaal hacks die mogelijk zijn door beveiligingsfouten in het onderliggende OS. 1 van de redenen dat de iPhone zo populair is onder zeg maar het tweakers-publiek, is dat hij zo makkelijk te hacken is. Maar ja, dat heeft dus ook zijn keerzijdes.

[Reactie gewijzigd door Dreamvoid op 21 november 2008 17:59]

wat een zever.

-De iPhone 3G is nog steeds niet gekraakt
-Elke HTC is ook gekraakt binnen enkele dagen om hem sim lock vrij te maken, Apple is hier echt niet de enige en ik betwijfel of ze er wel veel nadruk opleggen, omdat het ze als fabrikant toch niet kan schelen dat ze gekraakt worden.
Waarom ik het geen ernstig lek vind: er wordt geen controle verkregen over het apparaat, er kan slechts één enkele handeling verricht worden (bellen naar een bepaald nummer), en zodra het probleem voorkomt is het makkelijk op te lossen door simpel de telefoon uit te schakelen.

Ook om bovengenoemde redenen vind ik de conclusie dat het iPhone OS "zo lek als een mandje" is onterecht. Op geen enkel moment is de veiligheid van het systeem zelf in gevaar. En jailbreaken is natuurlijk een heel andere vorm van "hacken". Het moet door de gebruiker zelf uitgevoerd en het levert geen beveiligingsrisico's op. Ik vind het vergelijkbaar met bijv. het kraken van Photoshop zodat je er geen serial voor nodig hebt. Je maakt daarbij ook gebruik van een "lek" in PS, maar daarmee kan je niet concluderen dat PS zo "lek als een mandje" is.

Want we zijn toch niet vergeten dat álles te kraken is? Zolang je maar goed genoeg zoekt zal je vanzelf een lek vinden. Daarom is het niet gek dat jailbreaken mogelijk is bij een iPhone. Als een willekeurige andere smartphone dezelfde beperkingen zou hebben als de iPhone zou die (puur hypothetisch gezien) ook uiteindelijk gekraakt kunnen worden, dat weet jij en dat weet ik.

En dat hoeft natuurlijk geen probleem te zijn want het levert bij jailbreaken voordelen op voor de gebruiker. Het wordt wél een probleem als buitenstaanders er baat bij hebben, zoals het lek dat in het artikel genoemd wordt. Maar op basis van één lek kan je alsnog niet concluderen dat een OS zo lek als een mandje is.
Open source is niet hetzelfde als veiligheid... Debian is daar een mooi voorbeeld van met de ssh-exploit die onlangs verscheen. Software bevat nu eenmaal fouten... het is mensenwerk. En als die tijdig opgelost worden is er niets/weinig aan de hand.
Mocht het je overkomen kan je toch gewoon je telefoon uit zetten. Reset of de sim er uit?
Anders doe je WEL gewoon de update naar 2.2 daarmee schijnt het opgelost te zijn.

Goed dat er oplettende mensen zijn die dit soort dingen melden aan apple.
Sim eruit halen gaat zo 1-2-3 niet, uitzetten kan tijdens een gesprek wel dacht ik.

Probleem is natuurlijk dat je niet weet wat je iPhone werkelijk doet als het scherm grijs wordt (en je leest geen tweakers :+ ). De meeste mensen zullen wel begrijpen dat er iets niet goed zit, en vervolgens een restart doen.

Maar kan me ook wel voorstellen dat je gewoon eventjes wilt wachten, omdat je denkt dat hij even vastloopt en 'het wel weer zal gaan doen' als je even geduld hebt.
Je ziet pas na een tijdje een grijs scherm, eerst zie je dat er een call forwarding plaatstvindt, en dat je iPhone dus aan het bellen is. Ik denk dat de meeste mensen op dat moment wel doorhebben dat ze de telefoon moeten uitschakelen.

Maar dit is natuurlijk puur hypothetisch aangezien het probleem al is opgelost.
Oef dit klinkt wel als een heel stom lek, wie laat er nou vanaf een html pagina automatisch nummers kunnen bellen, en dan al helemaal zonder notificatie en ophang mogelijkheid.
Lijkt me een kleine moeite om iedergeval ten alle tijden een ophang knop in beeld te houden zodra er een verbinding is.

[Reactie gewijzigd door qless op 21 november 2008 14:48]

Inderdaad een beetje vreemd dat een webpagina de telefoon iets kan laten bellen... : |:(
Ik denk dat het simpelweg een niet afgeschermde functie is geweest. Safari en andere applicaties op de iPhone herkennen namelijk telefoonnummers (niet altijd overigens) op een pagina die je dan kan aanklikken en meteen bellen. Ik vermoed dat er van de weg naar het bellen toe, misbruik kon worden gemaakt. Netjes dat men het heeft doorgegeven en dat Apple het meteen heeft opgelost, volgens mij is er nog geen misbruik van geweest, nergens iets over gehoord.

De update zelf is overigens erg fijn, kleine bugs zijn opgelost, safari loopt stabieler, etc. Toch prettig dat men de telefoon zo uitgebreidt ondersteunt. Dat had ik op m'n voorgaande lang niet altijd.

[Reactie gewijzigd door vgroenewold op 21 november 2008 14:59]

De telefoon kon niet automatich bellen.
Het probleem zat hem erin dat indien er al de diallog op het scherm stond om te vragen of er gebeld mocht worden, een tweede aanvraag werd doorgelaten...

Zie de pagina van Apple met de security fixes van deze firmware:
http://support.apple.com/kb/HT3318

En dan bijna onderaan bij CVE-2008-4233:

<snip>
Description: If an application is launched via Safari while a call approval dialog is shown, the call will be placed. This may allow a maliciously crafted website to initiate a phone call without user interaction. Additionally, under certain circumstances it may be possible for a maliciously crafted website to block the user's ability to cancel dialing for a short period of time. This update addresses the issue by properly dismissing Safari's call approval dialog when an application is being launched via Safari. Credit to Collin Mulliner of Fraunhofer SIT for reporting this issue.
<snip>
Volgens mij interpreteer je dat verkeerd. Zoals het er staat kan een website dus een call aanvragen, waardoor een approval dialoog zou worden opgeroepen, en dan door een applicatie de call laten initiëren zonder dat de gebruiker iets hoeft te doen. Bovendien is het mogelijk voor de website om de mogelijkheid de call te annuleren tijdelijk uit te schakelen.

Een ernstige lek dus.
Helemaal niet vreemd. Kan handig zijn.

Bedrijven kunnen op intranet een soort van telefoonlijst plaatsen, en met 1 tapje kan je je telefoon ernaartoe laten bellen.

Zelf schijf ik ook services voor ip-telefoons, die kun je zelfs vanaf een werkstation via http-posts opdrachten geven (wel met authenticatie, dus misbruik is dan lastiger) zodat je vanaf je adresboek op je pc nummers kunt laten bellen, bijvoorbeeld.
Die feature zit ook al jaren in Blackberries (en ook in mijn bejaarde Nokia trouwens), maar daar komt wel altijd netjes een beveiligingswaarschuwing langs.

[Reactie gewijzigd door Dreamvoid op 21 november 2008 16:56]

Ik vermoed dat de exploit een bel API aanroepte die niet goed werd afgeschermd dan heb je namelijk geen frontend/gui nodig.
wie laat er nou vanaf een html pagina automatisch nummers kunnen bellen,
Niemand, maar dit soort dingen bouw je ook niet bewust in. Meestal zijn dit "bij-effecten" van changes die heel moeilijk te voorzien zijn.
Waarschijnlijk (ik heb zelf geen iPhone, dus kan het niet testen) kun je door een telefoonnummer op een website te selecteren direct dat nummer bellen.

Misschien kan een iPhone gebruiker dit verifieren?

[Reactie gewijzigd door borchen op 21 november 2008 14:55]

Dat is zelfs een functie. :) Maar dit lek deed het dus automatisch.
Wel logisch dat het als functie is. Dat zat ook al in mn oude telefoon dat je een nummer uit bv een tekst kon selecteren.
Is dat net zoiets als de Skype add-in voor Firefox?
ik raadpleeg de online telefoongids regelmatig; dan kun je direct uit het overzicht bellen ... idiaal
"De iPhone-bezitter kan het telefoontje niet afbreken en ziet alleen een grijs scherm." Waar is de tijd dat je dan gewoon de accu even uit het toestel haalde...
niet overdrijven rob, je kunt testen wat je wilt maar het is toch nooit 100%
+ Een qa tester is niet altijd op de hoogte van het mogelijkheid dat er iets mis zou kunnen gaan met een bepaalde functie.
Maar wie betaalt de eventuele schade door het gebel naar 0900 nummers? De onwetende klant of de producent welek een gebrekkig product op de markt brengt?

(Denk dat mijn mening hier al aardig doorschemert) :-)
Het is (helaas) algemeen aanvaard dat softwaremakers wat dat betreft geen blaam treft (anders zou de industrie met microsoft voorop niet meer bestaan hebben in deze vorm)
Ga jij nemef aanklagen als het iemand lukt bij jou thuis in te breken ?
Hier een youtube link naar het filmpje, dan kun je hem tenminste full-screen bekijken en proberen te lezen op welk adres die html code te vinden is.

http://www.mulliner.org/iphone/

http://www.youtube.com/wa...lliner.org/iphone/&fmt=18

ik heb de kwaliteit van het youtube filmpje wat verhoogt om de url te kunnen lezen ;)

http://www.cmrd.de/demo/dem....... zo iets, maar denk niet dat ie nog online staat

[Reactie gewijzigd door HenkEisjedies op 21 november 2008 16:03]

Volgens mij kan je altijd nog de home button en de uit knop in houden zodat de telefoon gewoon uit gaat.
de firmware fan mijn Iphone 3G is stuk door deze update, en restore werkt ook niet.

ik zou dus nog ff uitkijken met deze update.

update: het is me geloof ik gelukt om de restore aan de praat te krijgen.

[Reactie gewijzigd door menzo op 21 november 2008 18:18]

Dat kan door vanalles en nog wat weleen fout gaan, geldt voor elk apparaat waar je de firmware van update. Vandaar dat je dus een restore functie hebt die blijkbaar bij jou ook werkt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True