Nieuwe iPhone-firmware dicht beveiligingslek

De nieuwe firmware voor de iPhone, versie 2.2, dicht een ernstig veiligheidslek. Met drie regels html-code kon een websitemaker de iPhone zonder toestemming van de eigenaar onbeperkt met dure 0900-nummers laten bellen.

Het lek is ontdekt door medewerkers van het Fraunhofer Institut. De ontdekkers hebben Apple op de hoogte gesteld. De iPhone-maker heeft het probleem verholpen in firmware 2.2, dat vanaf vrijdag voor iPhone-bezitters te downloaden is.

Het lek was volgens de ontdekkers eenvoudig te misbruiken. Drie regels html-code konden ervoor zorgen dat een website de iPhone ertoe dwingt een willekeurig nummer te bellen. Dat nummer kan een gewoon telefoonnummer, maar ook een duur 0900-nummer zijn. De iPhone-bezitter kan het telefoontje niet afbreken en ziet alleen een grijs scherm. Door een mail of sms naar een iPhone-eigenaar te sturen, kan de website met de code onder de aandacht van iPhone-bezitters worden gebracht. Voor zover bekend is het lek niet actief misbruikt.

De nieuwe firmware brengt naast een oplossing voor het lek ook enkele functionele verbeteringen. Zo is Street View aan de Google Maps-applicatie toegevoegd en kunnen kleinere podcasts voortaan zonder tussenkomst van iTunes worden gedownload.

Ondertussen is over de nieuwe iPhone-applicatie van Google onduidelijkheid ontstaan. Google lanceerde deze week de applicatie met spraakgestuurde zoekopdrachten. Volgens it-blogger John Gruber maakt de Google-applicatie gebruik van api's waarvan Apple het gebruik verboden heeft. Google heeft de api van de nabijheidssensor gebruikt, maar de manier waarop - de nabijheidssensor is nodig om de spraakopdracht te starten - is niet mogelijk met de publieke api's, zegt Gruber. Het is onduidelijk of Apple dat heeft geweten, omdat de applicatie volgens de regels dan niet in App Store verkrijgbaar zou mogen zijn.

Video (FLVPlayer_Progressive_tcm105-112243.swf)

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 21-11-2008 14:45 50

21-11-2008 • 14:45

50

Lees meer

Apple iPhone 3G

geen prijs bekend

4.5 van 5 sterren
Hack maakt in-app aankopen op iOS gratis
Hack maakt in-app aankopen op iOS gratis Nieuws van 13 juli 2012
EU: tweederde misleidende sms-diensten is verdwenen
EU: tweederde misleidende sms-diensten is verdwenen Nieuws van 17 november 2009
'Versleuteling iPhone 3GS eenvoudig te kraken'
'Versleuteling iPhone 3GS eenvoudig te kraken' Nieuws van 26 juli 2009
Apple werkt aan biometrische beveiliging voor iPhone
Apple werkt aan biometrische beveiliging voor iPhone Nieuws van 29 maart 2009
Beveiliging iPhone-applicaties gekraakt
Beveiliging iPhone-applicaties gekraakt Nieuws van 2 februari 2009
EMI-artiesten opgenomen in muziekspel voor de iPhone
EMI-artiesten opgenomen in muziekspel voor de iPhone Nieuws van 8 december 2008
Nieuw type mmo komt naar de iPhone
Nieuw type mmo komt naar de iPhone Nieuws van 2 december 2008
Apple wil dat Mac-gebruikers virusscanner installeren
Apple wil dat Mac-gebruikers virusscanner installeren Nieuws van 1 december 2008
Hackers krijgen Linux op de iPhone draaiende
Hackers krijgen Linux op de iPhone draaiende Nieuws van 29 november 2008
Meer producten en artikelen
Mobiele besturingssystemen Smartphones Apple iPhone iOS Beveiliging

Reacties (50)

-Moderatie-faq
50
45
11
6
0
6
Wijzig sortering

Sorteer op:

Weergave:
Rob Coops
21 november 2008 14:55
Ik denk eigenlijk dat Google en Apple alle twee maar al te goed weten dat de API die gebruikt is niet voor de gewoone developers beschikbaar is. Apple en Google hebben immers al eerder samen aan applicaties voor de iPhode gewerkt en Google heeft er niets aan om een APP te maken die Apple vervolgens niet zou willen aanbieden nog heeft Apple er iets aan om een duidelijke next-gen applicatie voor hun telefoon niet toe testaan om een technische beperking in de voorwaarden.

Apple zal vast en zeker de ontberkende delen van de API vrij gaan geven als zij dat nodig vinden en zal tot die tijd alleen een beperkt aantal voor hun belangrijke spelers toegang bieden tot deze tools.

Wat betreft het lek... ik vind het maar wat vreemd dat Apple dit sort dingen mogenlijk heeft gemaakt en het hun niet zelf is opgevallen. Als developer moet je toch kunnen bedenken dat dit soort dingen mogenlijk zijn met de interface die je schrijft. En als QA tester moet je toch juist dit soort dingen onder zoeken, niet alleen of het standaard gedrag vertoont wordt maar juist ook of je het stuk kunt maken. Anders kun je net zo goed geen QA doen, wat er zijn maar weinig developers die zo slecht zijn dat hun software niet doet wat het zou moeten doen. Aan de andere kant zijn er nog vel minder developers wiens code niet op de een of andere manier dingen mogenlijk maakt die het niet mogenlijk zou moeten maken.
g4wx3 @Rob Coops21 november 2008 15:10
Jij weet niet welke 3 regels html het zijn, het kunnen regels zijn van 100 tekens btw.

Als je zelf heel modulair software gaat schrijven, ga je zelf merken dat er vaak lekken zijn. Want als je een module af hebt, en hij werkt zoals gevraagd, dan kijk je er niet meer naar om, als je dan een andere module ermee laat praten.
Als een devlopper nou dacht dat jou module voor de veilighied zorgde (centraal geregeld) dan hoef ik alleen maar wat rauwe gegevens door te sturen. En zo ontstaat een lek.

Dergelijke problemen zijn heel makkelijk op te lossen, maar ze komen veelvuldig voor als je alles in kleine modules programmeert.

Verder is het verboden dacht ik, dat apple api openbaar maakt voor 1 fabrikant, dat is concurentie vervalsing. MS heeft dezelfde problemen met hun api's, en geheimhouding. (denk aan mobilesync)
vgroenewold
@Rob Coops21 november 2008 15:02
Soms lijken toepassingen simpel om te bedenken en had Apple dit dus kunnen testen, echter is het in de praktijk zo dat mensen vrij voor de hand liggende zaken missen. Ik weet ook van geen app die hier gebruik van maakt en dus hebben developers dit ook niet echt voor ogen gehad, waarschijnljik staat het niet eens in de documentatie.
Verwijderd 21 november 2008 15:51
Wat een ontzettend stomme fout van Apple, je kan dan wel dingen over het hoofd zien maar API's die gebruikt worden om te bellen moet je natuurlijk 100% afschermen.

Overigens is "ernstig beveilingslek" misschien wel lichtelijk overdreven. Het slachtoffer ziet wél dat er met zijn iPhone gebeld wordt maar kan het gesprek niet annuleren. Een logische eerste reactie is dan de telefoon uitschakelen, probleem opgelost.

Ook netjes van Fraunhofer dat ze dit (neem ik aan) eerst tijdig aan Apple hebben gemeld en hun de kans hebben gegeven het op te lossen en niet de "sensationele" weg hebben gekozen door naar de media te stappen. Een bericht over een "ernstig beveiligingslek" in de iPhone is als nieuwssite natuurlijk om je vingers bij af te likken.
Dreamvoid
@Verwijderd21 november 2008 16:52
Dit is wel degelijk ernstig: het is eenvoudig te verspreiden, kost de klant harde centen, en is bij andere telefoons niet mogelijk. En lang niet iedereen update de firmware direct (zeker niet al die jailbroken iPhones!).

Blijft bizar natuurlijk dat OS X als desktop OS een prima veiligheidsreputatie heeft, maar de iPhone (zeker vergeleken met andere smartphone OS'en) zo lek als een mandje is. Misschien moet Apple de iPhone kernel ook maar open source maken zoals die van OS X?

[Reactie gewijzigd door Dreamvoid op 30 juli 2024 02:21]

vgroenewold
@Dreamvoid21 november 2008 17:01
Hoe kom je erop dat het zo lek als een mandje is... vind ik dan weer een hele typische uitspraak, dit soort fouten welke per ongeluk onderdeel zijn van een functie, komen in allerlei telefoon weleens voor, als je maar zoekt.
Dreamvoid
@vgroenewold21 november 2008 17:47
Misschien heb je gemist dat elke iPhone firmware tot nog toe al voor officiele verspreiding gehacked werd? Punt is dat deze functie (bellen van nummers in webpagina's) al jaren in andere smartphones zit en daar niet ge-exploiteerd wordt, en in de iPhone nu wel. Dan kan je wel impliceren dat "er nou eenmaal meer naar exploits gezocht wordt in de iPhone dan in bv een Blackberry" maar dat argument hoor ik over Windows ook al jaren.

Er zijn hacks die leuk zijn voor de gebruiker (jailbreaks etc) en hacks die minder leuk zijn (dit soort exploits). Maar het blijven allemaal hacks die mogelijk zijn door beveiligingsfouten in het onderliggende OS. 1 van de redenen dat de iPhone zo populair is onder zeg maar het tweakers-publiek, is dat hij zo makkelijk te hacken is. Maar ja, dat heeft dus ook zijn keerzijdes.

[Reactie gewijzigd door Dreamvoid op 30 juli 2024 02:21]

Verwijderd @Dreamvoid21 november 2008 20:20
wat een zever.

-De iPhone 3G is nog steeds niet gekraakt
-Elke HTC is ook gekraakt binnen enkele dagen om hem sim lock vrij te maken, Apple is hier echt niet de enige en ik betwijfel of ze er wel veel nadruk opleggen, omdat het ze als fabrikant toch niet kan schelen dat ze gekraakt worden.
Verwijderd @Dreamvoid21 november 2008 18:33
Waarom ik het geen ernstig lek vind: er wordt geen controle verkregen over het apparaat, er kan slechts één enkele handeling verricht worden (bellen naar een bepaald nummer), en zodra het probleem voorkomt is het makkelijk op te lossen door simpel de telefoon uit te schakelen.

Ook om bovengenoemde redenen vind ik de conclusie dat het iPhone OS "zo lek als een mandje" is onterecht. Op geen enkel moment is de veiligheid van het systeem zelf in gevaar. En jailbreaken is natuurlijk een heel andere vorm van "hacken". Het moet door de gebruiker zelf uitgevoerd en het levert geen beveiligingsrisico's op. Ik vind het vergelijkbaar met bijv. het kraken van Photoshop zodat je er geen serial voor nodig hebt. Je maakt daarbij ook gebruik van een "lek" in PS, maar daarmee kan je niet concluderen dat PS zo "lek als een mandje" is.

Want we zijn toch niet vergeten dat álles te kraken is? Zolang je maar goed genoeg zoekt zal je vanzelf een lek vinden. Daarom is het niet gek dat jailbreaken mogelijk is bij een iPhone. Als een willekeurige andere smartphone dezelfde beperkingen zou hebben als de iPhone zou die (puur hypothetisch gezien) ook uiteindelijk gekraakt kunnen worden, dat weet jij en dat weet ik.

En dat hoeft natuurlijk geen probleem te zijn want het levert bij jailbreaken voordelen op voor de gebruiker. Het wordt wél een probleem als buitenstaanders er baat bij hebben, zoals het lek dat in het artikel genoemd wordt. Maar op basis van één lek kan je alsnog niet concluderen dat een OS zo lek als een mandje is.
Verwijderd @Dreamvoid21 november 2008 20:33
Open source is niet hetzelfde als veiligheid... Debian is daar een mooi voorbeeld van met de ssh-exploit die onlangs verscheen. Software bevat nu eenmaal fouten... het is mensenwerk. En als die tijdig opgelost worden is er niets/weinig aan de hand.
Verwijderd 21 november 2008 15:30
Mocht het je overkomen kan je toch gewoon je telefoon uit zetten. Reset of de sim er uit?
Anders doe je WEL gewoon de update naar 2.2 daarmee schijnt het opgelost te zijn.

Goed dat er oplettende mensen zijn die dit soort dingen melden aan apple.
JanvdVeer @Verwijderd21 november 2008 15:47
Sim eruit halen gaat zo 1-2-3 niet, uitzetten kan tijdens een gesprek wel dacht ik.

Probleem is natuurlijk dat je niet weet wat je iPhone werkelijk doet als het scherm grijs wordt (en je leest geen tweakers :+ ). De meeste mensen zullen wel begrijpen dat er iets niet goed zit, en vervolgens een restart doen.

Maar kan me ook wel voorstellen dat je gewoon eventjes wilt wachten, omdat je denkt dat hij even vastloopt en 'het wel weer zal gaan doen' als je even geduld hebt.
Verwijderd @JanvdVeer21 november 2008 16:42
Je ziet pas na een tijdje een grijs scherm, eerst zie je dat er een call forwarding plaatstvindt, en dat je iPhone dus aan het bellen is. Ik denk dat de meeste mensen op dat moment wel doorhebben dat ze de telefoon moeten uitschakelen.

Maar dit is natuurlijk puur hypothetisch aangezien het probleem al is opgelost.
qless 21 november 2008 14:47
Oef dit klinkt wel als een heel stom lek, wie laat er nou vanaf een html pagina automatisch nummers kunnen bellen, en dan al helemaal zonder notificatie en ophang mogelijkheid.
Lijkt me een kleine moeite om iedergeval ten alle tijden een ophang knop in beeld te houden zodra er een verbinding is.

[Reactie gewijzigd door qless op 30 juli 2024 02:21]

GreenPictures @qless21 november 2008 14:54
Inderdaad een beetje vreemd dat een webpagina de telefoon iets kan laten bellen... : |:(
vgroenewold
@GreenPictures21 november 2008 14:57
Ik denk dat het simpelweg een niet afgeschermde functie is geweest. Safari en andere applicaties op de iPhone herkennen namelijk telefoonnummers (niet altijd overigens) op een pagina die je dan kan aanklikken en meteen bellen. Ik vermoed dat er van de weg naar het bellen toe, misbruik kon worden gemaakt. Netjes dat men het heeft doorgegeven en dat Apple het meteen heeft opgelost, volgens mij is er nog geen misbruik van geweest, nergens iets over gehoord.

De update zelf is overigens erg fijn, kleine bugs zijn opgelost, safari loopt stabieler, etc. Toch prettig dat men de telefoon zo uitgebreidt ondersteunt. Dat had ik op m'n voorgaande lang niet altijd.

[Reactie gewijzigd door vgroenewold op 30 juli 2024 02:21]

PPie @GreenPictures21 november 2008 16:49
De telefoon kon niet automatich bellen.
Het probleem zat hem erin dat indien er al de diallog op het scherm stond om te vragen of er gebeld mocht worden, een tweede aanvraag werd doorgelaten...

Zie de pagina van Apple met de security fixes van deze firmware:
http://support.apple.com/kb/HT3318

En dan bijna onderaan bij CVE-2008-4233:

<snip>
Description: If an application is launched via Safari while a call approval dialog is shown, the call will be placed. This may allow a maliciously crafted website to initiate a phone call without user interaction. Additionally, under certain circumstances it may be possible for a maliciously crafted website to block the user's ability to cancel dialing for a short period of time. This update addresses the issue by properly dismissing Safari's call approval dialog when an application is being launched via Safari. Credit to Collin Mulliner of Fraunhofer SIT for reporting this issue.
<snip>
Verwijderd @PPie22 november 2008 11:40
Volgens mij interpreteer je dat verkeerd. Zoals het er staat kan een website dus een call aanvragen, waardoor een approval dialoog zou worden opgeroepen, en dan door een applicatie de call laten initiëren zonder dat de gebruiker iets hoeft te doen. Bovendien is het mogelijk voor de website om de mogelijkheid de call te annuleren tijdelijk uit te schakelen.

Een ernstige lek dus.
Verwijderd @GreenPictures21 november 2008 15:07
Helemaal niet vreemd. Kan handig zijn.

Bedrijven kunnen op intranet een soort van telefoonlijst plaatsen, en met 1 tapje kan je je telefoon ernaartoe laten bellen.

Zelf schijf ik ook services voor ip-telefoons, die kun je zelfs vanaf een werkstation via http-posts opdrachten geven (wel met authenticatie, dus misbruik is dan lastiger) zodat je vanaf je adresboek op je pc nummers kunt laten bellen, bijvoorbeeld.
Dreamvoid
@Verwijderd21 november 2008 16:55
Die feature zit ook al jaren in Blackberries (en ook in mijn bejaarde Nokia trouwens), maar daar komt wel altijd netjes een beveiligingswaarschuwing langs.

[Reactie gewijzigd door Dreamvoid op 30 juli 2024 02:21]

Simkin @qless21 november 2008 14:54
Ik vermoed dat de exploit een bel API aanroepte die niet goed werd afgeschermd dan heb je namelijk geen frontend/gui nodig.
Laurens-R @qless21 november 2008 14:52
wie laat er nou vanaf een html pagina automatisch nummers kunnen bellen,
Niemand, maar dit soort dingen bouw je ook niet bewust in. Meestal zijn dit "bij-effecten" van changes die heel moeilijk te voorzien zijn.
Verwijderd @qless21 november 2008 14:55
Waarschijnlijk (ik heb zelf geen iPhone, dus kan het niet testen) kun je door een telefoonnummer op een website te selecteren direct dat nummer bellen.

Misschien kan een iPhone gebruiker dit verifieren?

[Reactie gewijzigd door Verwijderd op 30 juli 2024 02:21]

vgroenewold
@Verwijderd21 november 2008 14:59
Dat is zelfs een functie. :) Maar dit lek deed het dus automatisch.
Guusjee @vgroenewold21 november 2008 15:08
Wel logisch dat het als functie is. Dat zat ook al in mn oude telefoon dat je een nummer uit bv een tekst kon selecteren.
Cybergamer @Verwijderd21 november 2008 16:47
Is dat net zoiets als de Skype add-in voor Firefox?
himlims_ @qless21 november 2008 15:48
ik raadpleeg de online telefoongids regelmatig; dan kun je direct uit het overzicht bellen ... idiaal
NSU1200C 21 november 2008 15:28
"De iPhone-bezitter kan het telefoontje niet afbreken en ziet alleen een grijs scherm." Waar is de tijd dat je dan gewoon de accu even uit het toestel haalde...
Verwijderd 21 november 2008 15:03
niet overdrijven rob, je kunt testen wat je wilt maar het is toch nooit 100%
+ Een qa tester is niet altijd op de hoogte van het mogelijkheid dat er iets mis zou kunnen gaan met een bepaalde functie.
PaulBloem 21 november 2008 15:37
Maar wie betaalt de eventuele schade door het gebel naar 0900 nummers? De onwetende klant of de producent welek een gebrekkig product op de markt brengt?

(Denk dat mijn mening hier al aardig doorschemert) :-)
blouweKip @PaulBloem21 november 2008 18:32
Het is (helaas) algemeen aanvaard dat softwaremakers wat dat betreft geen blaam treft (anders zou de industrie met microsoft voorop niet meer bestaan hebben in deze vorm)
latka @PaulBloem22 november 2008 09:25
Ga jij nemef aanklagen als het iemand lukt bij jou thuis in te breken ?
HenkEisDS 21 november 2008 15:55
Hier een youtube link naar het filmpje, dan kun je hem tenminste full-screen bekijken en proberen te lezen op welk adres die html code te vinden is.

http://www.mulliner.org/iphone/

http://www.youtube.com/wa...lliner.org/iphone/&fmt=18

ik heb de kwaliteit van het youtube filmpje wat verhoogt om de url te kunnen lezen ;)

http://www.cmrd.de/demo/dem....... zo iets, maar denk niet dat ie nog online staat

[Reactie gewijzigd door HenkEisDS op 30 juli 2024 02:21]

CrashOne 21 november 2008 16:44
Volgens mij kan je altijd nog de home button en de uit knop in houden zodat de telefoon gewoon uit gaat.
menzo 21 november 2008 18:09
de firmware fan mijn Iphone 3G is stuk door deze update, en restore werkt ook niet.

ik zou dus nog ff uitkijken met deze update.

update: het is me geloof ik gelukt om de restore aan de praat te krijgen.

[Reactie gewijzigd door menzo op 30 juli 2024 02:21]

vgroenewold
@menzo21 november 2008 21:53
Dat kan door vanalles en nog wat weleen fout gaan, geldt voor elk apparaat waar je de firmware van update. Vandaar dat je dus een restore functie hebt die blijkbaar bij jou ook werkt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq