Kans op misbruik 'oplader-hack' iOS lijkt beperkt

De hack die enkele weken geleden in het nieuws kwam en die het mogelijk maakt een iOS-apparaat te kraken met een vervalste oplader, is niet zomaar uit te voeren. Er moet een developer-account bij Apple worden aangemaakt, daarnaast is het probleem opgelost in iOS 7.

Enkele weken geleden werd bekend dat kwaadwillenden een iPhone of iPad kunnen kraken door een vervalste 'oplader' aan te bieden. Woensdag hebben de onderzoekers de details van hun bevindingen op de Black Hat-beveiligingsconferentie in Las Vegas bekendgemaakt. Daaruit blijkt dat het probleem niet zomaar te misbruiken is.

In feite gaat het niet zozeer om een kwetsbaarheid in iOS, maar meer een ontwerpfout, waardoor elke usb-host wordt vertrouwd. De onderzoekers maakten gebruik van dat principe om een kleine computer, opgebouwd rond een opensource BeagleBoard-moederbord, te vermommen als een oplader. Die 'oplader' pairt na het aansluiten ongevraagd met het iOS-toestel, waarna er een provisioning-profiel wordt geïnstalleerd. Een dergelijk profiel wordt bijvoorbeeld gebruikt voor bedrijven om applicaties te kunnen installeren op telefoons van medewerkers, zonder dat die applicaties in de App Store hoeven te staan. Ook ontwikkelaars testen met behulp van een provisioning-profiel.

Is het provisioning-profiel geïnstalleerd, dan kunnen de onderzoekers zelf applicaties installeren op het toestel, ook als de usb-verbinding met het toestel wordt verbroken. Het profiel blijft aanwezig op het toestel totdat de gebruiker het bewust verwijdert. Het installeren van apps kan ongemerkt; ontwikkelaars kunnen via het provisioning-profiel applicaties installeren zonder dat die in het springboard terecht komen. Die applicaties kunnen daarna in de achtergrond worden gestart, waarmee bijvoorbeeld de locatie van een gebruiker in de gaten kan worden gehouden. Ook kunnen screenshots van het scherm worden gemaakt.

Een flinke beperking is echter dat een developer-account benodigd is om een proviosning-profiel te kunnen installeren. Daarvoor moet een account bij Apple worden aangemaakt, wat minimaal 100 dollar per jaar kost. Bovendien weet Apple daardoor de identiteit van de kwaadwillende. Daarnaast kan een normaal developer-account maximaal 100 provisioning-profielen installeren, waardoor het lastig is om de beveiligingskwestie op grote schaal te misbruiken.

Om het provisioning-profiel te installeren, moet de 'oplader' bovendien over een internetverbinding beschikken: voor het aanmaken van het profiel moet de udid van het iOS-toestel naar de server van Apple worden gestuurd, waarna het profiel wordt teruggestuurd. Volgens de onderzoekers kan de oplader worden voorzien van een wifi-chip of van een mobiele dataverbinding, maar dat maakt de hack meteen prijziger.

In iOS 7 heeft Apple het probleem overigens al opgelost. De nieuwe versie van iOS laat een computer die via usb wil pairen, niet zomaar toe. Eerst moet een gebruiker daarvoor toestemming geven.

Door Joost Schellevis

Redacteur

Feedback • 01-08-2013 07:4563

01-08-2013 • 07:45

63 Linkedin

Lees meer

Apple iPad Mini

geen prijs bekend

Score: 4

Apple iPad Retina (najaar 2012)

geen prijs bekend

Score: 4.5

Apple vraagt patent aan op 20V-snellader voor iPhone en iPad Nieuws van 19 mei 2014
Apple iPhone 5

vanaf € 199,99

Score: 4.5

Alles over dit product

iOS 7 komt volgende week woensdag uit Nieuws van 10 september 2013
Bedrijf achter Siri: Apple brengt iOS 7 op 10 september uit Nieuws van 27 augustus 2013
Gerucht: cpu nieuwe iPhone is 31% sneller dan A6 - update Nieuws van 26 augustus 2013
Microsoft waarschuwt voor beveiliging zakelijke wifi-netwerken op Windows Phone Nieuws van 6 augustus 2013
Apple start kortingsactie voor usb-opladers na incidenten Nieuws van 6 augustus 2013
Evad3rs-team heeft kwetsbaarheden klaarliggen voor volgende iOS-jailbreak Nieuws van 11 april 2013
Wachtwoordmanager Keeper sloeg wachtwoorden onversleuteld op Nieuws van 5 april 2013
'Apple schakelt https in voor dataverkeer met de App Store' Nieuws van 10 maart 2013
Bug in iOS maakt omzeilen lockscreen mogelijk Nieuws van 14 februari 2013
'Dit jaar minder kwetsbaarheden mobiele besturingssystemen' Nieuws van 20 september 2012
Meer producten en artikelen
Netwerk en systeembeheer Smartphones Tablets Apple iPhone iPad

Reacties (63)

-Moderatie-faq
63
60
49
4
0
7
Wijzig sortering
frankwopereis
1 augustus 2013 08:04
Ben ondanks dat het in iOS7 is opgelost wel benieuwd of er nog een update voor versie 6 gaat komen die dit probleem op lost. Apple geeft zelf al aan dat oudere modellen een steeds grotere markt vormen, en deze kunnen niet allemaal updaten naar iOS7.
eatualive
@frankwopereis1 augustus 2013 08:13
Het mooie van IOS is dat het op de meeste oudere modellen kan draaien. ofwel ios07 is de update. Volgens mijn(als mijn bronnen ok zijn) zelfs de iPhone 4 krijgt deze update. 3gs en ouder niet maar die markt is nog heeel klein aangezien de telefoon al bijna 4 jaar oud is.

[Reactie gewijzigd door eatualive op 1 augustus 2013 08:17]

bonus
@eatualive1 augustus 2013 08:19
Er worden nog heel wat 3GS gebruikt hoor, misschien zelfs wel verkocht. Misschien niet in NL of zelf de EU maar ik dacht dat in Afrika het model nogal populair was.
En me oude oude iPad kan ook niet verder dan >5.xx (ja ik weet het oud, maar werkt nog zo goed).
Anoniem: 254370
@bonus1 augustus 2013 09:26
Mooi dat ze nog gebruikt worden, maar je kan niet alles eindeloos blijven ondersteunen.
De iPhone 4 is meer dan 3 jaar oud en krijgt de update naar iOS 7.
Oudere telefoons niet, omdat dan niet te garanderen is dat deze het aankunnen.
Met die ruim 3 jaar ondersteuning zijn ze toonaangevend.
Blazing-Studios
@Anoniem: 2543701 augustus 2013 09:56
Mooi dat ze nog gebruikt worden, maar je kan niet alles eindeloos blijven ondersteunen.
Als microsoft of Google dit doet/roept dan klagen we steen en been maar van Apple is het oke?

Met die ruim 3 jaar ondersteuning zijn ze toonaangevend.
Windows XP wordt (op dit moment) nog steeds ondersteund na dik 10 jaar, dus kuch.
Andersom werkt Windows8 nog steeds op een Pentium4 (zal geen benchmarks verbreken uiteraard).
ultimasnake
@Blazing-Studios1 augustus 2013 13:33
Toch vergelijk je naar mijn idee appels met peren nog steeds, je vergelijkt een OS met een device/OS combinatie.

Microsoft ondersteund geen pc's maar configuraties aan hardware en stelt daar slechts eisen aan. Je kan Windows 8 mogelijk op een Pentium 4 installeren (al zal het afhankelijk zijn van andere aspecten en derden die nog drivers verstrekken voor de combinatie!), maar het zal op geen enkele wijze prettig zijn voor de eindgebruiker.

Ios7 op een 3gs zal gewoon geen zoden aan de dijk zetten en daarom brengt Apple deze dan ook niet naar oudere telefoons.

Verder is MS enigszins verplicht Windows XP nog te ondersteunen gezien het grote marktaandeel. 3gs'en zijn gewoon veel minder aanwezig.
HummerHealey
@Blazing-Studios1 augustus 2013 10:33
Windows XP wordt na 10 jaar nog steeds ondersteund, maar de hardware van 10 jaar geleden daar draait toch ook geen Windows 8 of zelfs SP.
Hobbit13
@HummerHealey1 augustus 2013 10:55
Ja hoor, Windows 8 draait prima op hardware van 10 jaar terug. Sowieso hebben Vista, 7 en 8 effectief dezelfde hardware eisen. (een high-end systeem uit 2003 had een 3GHz Pentium 4, 1 a 2 GB ram, DX9 graphics, 120GB schijf, dat werkt echt nog wel voor een simpel Windows 8 systeem)
lv0
@Blazing-Studios1 augustus 2013 10:23
Off-topic:
Jouw vergelijking is krom. Apples met peren!

Mobile OS vergelijken met PC OS is krommer dan een boomerang.

On-topic:

Ben benieuwd hoeveel mensen hun dure apple dev account te grabbelen gooien door deze hack te misbruiken.
Anoniem: 463321
@lv01 augustus 2013 10:52
Valt prima te vergelijken. Je kunt zelfs een koe met een smartphone vergelijken. Je hebt dan wel een hoop verschillen.

Het gaat niet om het soort OS. Het gaat erom hoe lang men ondersteuning biedt op hun producten.
spank_mojoo
@Anoniem: 4633211 augustus 2013 12:11
hoeveel ondersteuning krijg jij dan vaak op je koeien?
en wat voor spec's hebben ze dan?

ik bedoel maar te zeggen; natuurlijk kun je alles wel vergelijken. het is alleen niet altijd relevant natuurlijk.
djpfaff
@spank_mojoo1 augustus 2013 13:42
Dat is dan ook precies wat hij heeft gedaan, een relevante vergelijking maken , en in dit geval is de periode van ondersteuning van een OS.
De enige relevante vergelijking die je tussen een koe en een smartphone zou kunnen maken is waarschijnlijk de levensduur :)
Wolfos
@Blazing-Studios1 augustus 2013 11:25
Als je iOS al slecht vind dan is Android rampzalig. De meeste toestellen krijgen maar 1 minor update en that's it. Mijn R800i zou de Android 4.0 update krijgen maar die is er nooit gekomen.

Microsoft is altijd het anderste uiterste en zorgt ervoor dat er heel veel oude technologie nog in gebruik blijft (Internet Explorer 6? Zelfs MS erkent dat het een probleem is, maar doet er niets aan om dit voor IE7, 8, 9 of 10 te voorkomen).
Cambion Daystar
@Wolfos1 augustus 2013 12:27
Maar dit ligt niet aan Google/Android, maar aan de fabrikant van je toestel.
TheTeek
@Anoniem: 2543701 augustus 2013 09:39
Het zijn premium producten, daar is ook een premium prijs voor betaald, de Ipad 1 bijvoorbeeld was een vrij dure tablet, maar daar trokken ze de stekker al uit toen het apparaat nog geen jaar uit de schappen was verdwenen.
IOS 5.x.x was een vreselijk slecht OS en maakte de Ipad 1 bijna onwerkbaar.
De app store crasht bijna altijd wanneer je te snel ergens op "klikt", zo ook de officiele Safari browser.
Het is een drama OS en Apple wijst alle problemen resoluut af als zijnde een probleem.

Nu met IOS 7 krijgen we weer hetzelfde, gelukkig heb ik een ipad 4 en die zal de update wel krijgen, maar voor hoe lang.
Wolfos
@TheTeek1 augustus 2013 11:22
Punt is dat de systeem eisen voor iOS niet echt omhoog lijken te gaan. Mijn 4S is niet langzamer dan de dag dat ik hem kocht, terwijl Google de RAM eisen met iedere update weer omhoog gooit (in 2020 vereisen ze 32GB RAM op dit tempo).

Het lijkt mij dus dat de iPad 2 en iPhone 4 nog aardig wat updatejes kunnen krijgen.

[Reactie gewijzigd door Wolfos op 1 augustus 2013 11:23]

DustMan4u
@Wolfos1 augustus 2013 11:42
Apple maakt dan ook een aparte versie van IOS voor elk device.

IOS7 voor de iPhone 4 heeft bijvoorbeeld van allerlei grafische opleukingen niet omdat de iPhone dat niet aan kan...
LopendeVogel
@Wolfos1 augustus 2013 20:22
Klopt, vandaar dat er vergeleken ios 3 en 6 amper verschil in zit.
Dat was ook mijn reden om van iphone af te stappen, het werd saai...
Dan heb ik nu de beta's gezien en had ik gelijk de gedachten: ej het lijkt op wp8 maar dan veel slechter! (wp8 kan je de thema op zwart/wit zetten, ongeveer het zelfde idee)
HummerHealey
@TheTeek1 augustus 2013 10:30
De iPad 1 is één van de weinige voorbeelden waarbij het apparaat "slechts" twee jaar werd ondersteund. De begin 2011 geintroduceerde iPad 2 krijgt gewoon een update naar iOS 7. Hoeveel Android toetsellen ken je die zo lang worden ondersteund. Uitgangspunt van Google is 18 maanden en daar zit zelfs de iPad 1 boven.
InflatableMouse
@HummerHealey1 augustus 2013 17:00
De 3G werd ook binnen 2 jaar onbruikbaar gemaakt met IOS 3. Kwamen nog 2 kleinere updates voor uit die het deels verhielpen, maar daarna was het gedaan met de pret. IOS 4 werd het alleen maar slechter mee, eigenlijk nog slechter als dat het was met IOS 3. Crashes, super traag (gewoon niet leuk meer).

Met IOS 7 wordt het gewoon hetzelfde. Ja het gaat op iphones 4 werken, maar het wordt niet leuk. Het komt er ook voor de ipad 3, maar het is nu al bekend dat bepaalde nieuwe features niet gaan werken terwijl er geen technische reden is waarom dat niet zou werken.

Dit is de reden waarom ik onlangs mijn 2 ipads heb verkocht en m'n iphone 5. Ik ben het zat dat apparaten binnen een jaar obsolete worden gemaakt met kunstmatige beperkingen in een update.

Ik weet wel dat dit met Android niet beter is, maar in ieder geval heb ik dan de mogelijkheid tot custom ROMs, rooten van device en kan ik mijn eigen boontjes doppen.
OkselFris
@InflatableMouse1 augustus 2013 19:05
Anderzijds verwachten de gebruikers wel vooruitgang welke de oude hardware simpelweg niet kan trekken. Het is dan niet meer dan logisch dat ze bepaalde zaken uitschakelen.
Daarnaast zal men altijd een bepaald uniek selling point creëren, maar dat is bij de concurrentie niet anders, laat staan dat je überhaupt een update krijgt.
Je apparaat wordt in het geheel niet obsolete, je kan er gewoon mee werken en je kan er na een jaar alles mee doen wat je bij aankoop ook kon. Je kan ook upgraden naar een nieuwer OS echter zullen niet alle nieuwe features beschikbaar zijn. De functionaliteit die je had blijven gewoon beschikbaar. Je iPhone 5 zal ook bijna alle nieuwe features van IOS7 krijgen.

Kortom je device obsolete verklaren is onzin. Het is dus een kwestie van verwachtingen stellen
tweakerbwoy
@OkselFris1 augustus 2013 20:01
Ik ben het niet met je eens. Eenmaal geupdate blijft geupdate dus als de nieuwe iOS crappy werkt (wat bij iOS 4 het geval was bij de 3G) kan je niks. Ook is het zo dat wanneer je een app verwijdert op een device met niet de nieuwste iOS (de iPad 1 met iOS 5) Kan je de app niet altijd opnieuw downloaden omdat deze geupdate is en dan iOS 6 vereist. Dus de zelfde functionaliteit blijft niet behouden
THID
@tweakerbwoy2 augustus 2013 07:55
Onzin, heb destijds mijn iPhone 3G hersteld naar ios3 toen 4 zo verschrikkelik traag bleek. (Wel schandalig dat Apple veel kopers dwingt om een nieuwe telefoon te kopen door expres 1 update teveel door te voeren)
Soldaatje
@Anoniem: 2543701 augustus 2013 10:04
Voor zo'n duur en gesloten systeem mag je wel wat langere support verwachten.
Met Android installeer je gewoon de laatste custom rom.
Anoniem: 499360
@Soldaatje1 augustus 2013 10:20
Android staat bekend om de slechtste ondersteuning. En komt niet af met custom roms want dat is echt geen ondersteuning van de fabrikant van je toestel.
HummerHealey
@Anoniem: 4993601 augustus 2013 10:38
Mn Xperia P van een jaar oud zal hoogstwaarschijnlijk geen update naar 4.3 krijgen. En de hoogste versie van een custom ROM is gebaseerd op 4.0. Dus ook daar ga je mank. Het aantal toestellen dat via een Custom Rom langer wordt ondersteund is klein. En dan nog moet je afwachten of het toestel er soepel op werkt.
thefal
@HummerHealey1 augustus 2013 11:31
De laatste officiele versie voor De Xperia P is 4.1. Custom ROMs zijn veelaal daarop gebaseerd en dus ook 4.1, maar er zijn al enkele voor 4.2.2. Je loopt dus een beetje achter ;)

edit: HTC Desire: Android 2.3, met Custom ROM: 4.1/4.2
Xperia P: Zie boven
Xperia S: Android 4.1, met Custom ROM 4.2

Zelfs de HTC Legend en de G1 en dergelijke worden nog ondersteund met Custom ROMS, al is het uiteindelijke resultaat wisselend wegens te weinig geheugem.

Er zijn er dus genoeg die langer ondersteund worden, zowat elk apparaat waarvoor dit enigszins mogelijk is!

[Reactie gewijzigd door thefal op 1 augustus 2013 12:06]

supersnathan94
@thefal1 augustus 2013 12:29
Ja en de ondersteuning vanuit de fabrikant? Juist daar gaat het om en die is dus echt waardeloos. Custom roms zijn leuk (snelheid is vaak beter), maar weet jij veel wat voor troep er allemaal ingebakken zit. Veilig is het absoluut niet.
thefal
@supersnathan941 augustus 2013 13:58
Ik reageerde ook puur op de opmerking van HummerHealey dat Custom ROMs achter lopen op officiele ROMs kwa Android versie.

Dat het een stuk onveiliger is dan gewoon je officiele ROM houden, dat is inderdaad vaak zo omdat 1 of 2 personen de ROM maken. Bij een ROM als de officiele Cyanogenmod is deze kans al een stuk kleiner, hier gaan honderden, zo niet duizenden mensen mee aan de slag, dus als zij wat proberen wordt het gauw opgemerkt ;) Dat is de kracht van open source (mits populair genoeg zoals CM)

[Reactie gewijzigd door thefal op 1 augustus 2013 13:59]

ruurd v.
@Anoniem: 2543701 augustus 2013 10:01
Natuurlijk prima dat ze de oude modellen niet meer ondersteunen qua iOS7, maar dat betekent toch niet dat ze geen losstaande fix uit kunnen brengen voor de modellen die geen iOS7 meer krijgen?
huntedjohan
@Anoniem: 2543701 augustus 2013 18:22
compleet OS update hoeft ook helemaal niet, veiligheids update kunnen ze gewoon toepassen.
Mizgala28
@bonus1 augustus 2013 11:27
Trouwens je moet een dev account hebben en nog dan is de kans erg klein dat je 3gs het slachtoffer wordt.
Hann1BaL
@eatualive1 augustus 2013 08:54
Apple brengt zeker updates uit voor oudere toestellen, maar vaak gaat dit gepaard met klachten over traag wordende telefoons, omdat de update eigenlijk niet geschikt is voor de oudere telefoons. Het zou dus wel handig zijn als er naast een update naar iOS 7 ook een update beschikbaar komt voor iOS6
SuperDre
@eatualive1 augustus 2013 10:13
omdat een telefoon al 4 jaar oud is, wil nog niet zeggen dat die ook vervangen wordt, waarom vervangen (tenzij het gratis bij het abonnement zit) als het apparaat nog goed werkt.. pffff...
rikoos
@eatualive1 augustus 2013 13:47
Het mooie van IOS is dat het op de meeste oudere modellen kan draaien. ofwel ios07 is de update. Volgens mijn(als mijn bronnen ok zijn) zelfs de iPhone 4 krijgt deze update. 3gs en ouder niet maar die markt is nog heeel klein aangezien de telefoon al bijna 4 jaar oud is.
6 is al niet meer vooruit te branden op een 3GS en deze verkochten ze vorig jaar nog gewoon.
mutley69
@eatualive1 augustus 2013 14:50
4 jaar oud? Da's bijzonder snel vervallen - ik heb nog een nokia van 10 jaar oud die perfect werkt! :+
kmf
@frankwopereis1 augustus 2013 08:40
Het is niet echt opgelost hoor. Je krijgt gewoon een waarschuwing "trust or don't trust". Ik weet niet of dat veel waarde heeft... als je je telefoon bewust aansluit op een publieke computer, dan weet je nog niet wat er gebeurt. Je zal vast wel op trust zetten.

En daarnaast. Een betaald developer-account is niet echt een beperking. Is zo aangemaakt natuurlijk (behalve als er een nieuw iOS aankomt)
SoloH
@kmf1 augustus 2013 09:20
Je moet je wel legitimeren met paspoort en geloof ik ook een creditcard. Dat zou dan wel weer gefaket kunnen worden, maar dan heb je nog maar 100 targets. Iets voor MI5 inderdaad.
Anoniem: 19339
@SoloH1 augustus 2013 09:28
Je moet je wel legitimeren met paspoort en geloof ik ook een creditcard
Sinds wanneer is legitimatie verplicht? Laatste keer dat ik ik een developer account aanmaakte bij Apple (2007 of 2008 of zo), was creditcard voldoende.
SoloH
@Anoniem: 193391 augustus 2013 09:29
Dat weet ik niet, maar ik heb mijn developer account sinds eind 2010. Ik weet niet meer of ik een paspoort moest toesturen, maar ze controleren eerst je gegevens voordat ze het account van je openen. Dat kan enkele dagen / weken duren.

https://developer.apple.com/programs/start/standard/
https://developer.apple.com/support/ios/enrollment.html

[Reactie gewijzigd door SoloH op 1 augustus 2013 09:37]

Anoniem: 118226
@kmf1 augustus 2013 08:53
Als je je iPhone/iPad op een oplader denkt aan te sluiten en die wil opeens als usbhost contact maakt, wat je weet door de waarschuwing, dan zal er toch wel een lichtje op gaan dat er iets raars aan de hand is. maar je hebt gelijk, de grote massa klikt dat wel weg.

Een betaald developer-account is inderdaad zo gemaakt. Dat moet je dan wel met een gestolen creditcard doen, anders is je identiteit meteen bekend. Om je botnet een beetje indruk te laten hebben heb toch wel minimaal 100.000 bots nodig en je kan er per developeraccount 100 besmetten. Dan heb je dus 1000 gestolen creditcards nodig. Dat kost ook wat (ik hoorde laats iets van 15 dollar per creditcard). Dat is gewoon te veel moeite, lijkt me.

(en een developer-account aanmaken staat los van een nieuwe IOS, geloof ik)
kmf
@Anoniem: 1182261 augustus 2013 09:07
botnet? wie had het over botnets? Een botnet van iDevices?
Ik denk dat het lucratiever is om 100 iDevices van wallstreet-mensen van keyloggers/sms-backuppers/whatsappleechers te voorzien, dan om een botnet van 100.000 zombies te krijgen.


(elke keer als er een nieuwe iOS aankomt, dan is er een influx aan nieuwe dev-registraties. Hierdoor worden de betalingsverificatie vertraagd. Kan soms een week duren voordat jouw account als betaald is goedgekeurd)

[Reactie gewijzigd door kmf op 1 augustus 2013 09:09]

Anoniem: 118226
@kmf1 augustus 2013 09:20
Ah. Je wilt cherry picking. Dat is opzich een aardig plan. Dan zou je ergens in de buurt van wall street (of, veel beter nog, op een top conferentie van EU leiders) een oplaad punt moeten aanbieden. Je zal ze wel zover krijgen om in te loggen op een vals wifi access point (iedereen valt voor free wifi) maar om hun iDevice aan een dubieus uitziend oplaadpunt te hangen? Wat denk je zelf?

Dat Apple traag is met goedkeuren van betalingsgegevens werkt ook niet echt in het voordeel. Ik neem aan dat je het met me eens bent dat er gestolen creditcard gegevens nodig zijn? Hoe langer het duurt voordat die betaling is goedgekeurd hoe groter de kans dat de gestolen creditcard niet meer werkt.

Ik probeer niet Apple te verdedigen, ik denk gewoon dat het teveel moeite is en dat er makkelijkere manieren zijn om achter gevoelige informatie te komen.
kmf
@Anoniem: 1182261 augustus 2013 09:34
In plaats van een oplaadpunt in een of ander beveiligd gebouw, zal ik gewoon een mooi uitziend chargestation aanbieden in de starbucks in de buurt.
Misschien een deal met de franchisenemer doen "ja, gratis oplaadstation met reclamestickers erop geplakt."

Die moet natuurlijk wel echt laden

Behalve iDevices zal je dan ook gelijk alle andere telefoons kunnen hacken indien nodig.

En nee, makkelijk is het niet. Maar er zijn wel manieren om het lucratief te maken. En als iets lucratiefs is....

Maar goed, tegen de tijd dat zoiets uitkomt (hoe komt apple erachter?) dan heeft Apple altijd nog de killswitch.
Rey Nemaattori
@Anoniem: 1182261 augustus 2013 20:38
Ah. Je wilt cherry picking. Dat is opzich een aardig plan. Dan zou je ergens in de buurt van wall street (of, veel beter nog, op een top conferentie van EU leiders) een oplaad punt moeten aanbieden. Je zal ze wel zover krijgen om in te loggen op een vals wifi access point (iedereen valt voor free wifi) maar om hun iDevice aan een dubieus uitziend oplaadpunt te hangen? Wat denk je zelf?

Dat Apple traag is met goedkeuren van betalingsgegevens werkt ook niet echt in het voordeel. Ik neem aan dat je het met me eens bent dat er gestolen creditcard gegevens nodig zijn? Hoe langer het duurt voordat die betaling is goedgekeurd hoe groter de kans dat de gestolen creditcard niet meer werkt.

Ik probeer niet Apple te verdedigen, ik denk gewoon dat het teveel moeite is en dat er makkelijkere manieren zijn om achter gevoelige informatie te komen.
Of je steelt de gewenste apparaten en levert ze netjes weer terug na afloop, met profile....
g4wx3
@kmf1 augustus 2013 10:12
behalve als je weeral je icloud paswoord moet intypen....
TweakMac
@frankwopereis1 augustus 2013 08:20
Maar hoe nodig is dat? Er moet een speciale adapter gebouwd worden die eigenlijk een mini-pc is en dan moet je iPhone tijdelijk ontvreemd worden en ongemerkt teruggegeven. Mooi materiaal voor Mission Impossible 5, of een thriller over hackers, maar niet iets om je in het dagelijks leven zorgen over te maken, tenzij je misschien een miljardair bent, venture capitalist of een spion.
crowke
@TweakMac1 augustus 2013 08:54
Nooit gehoord van oplaadstations? Op evenementen of in shoppingcentra kom je ze vaak tegen.
PhilipsFan
@crowke1 augustus 2013 09:26
Massaontslag van gegevens is al niet interessant vanwege de beperking van 100 toestellen per account. Dus, je wilt een specifiek iemand bespioneren. Wil je dan alle oplaadstations vervangen door je aangepaste opladers of wil je wachten tot jouw onderwerp zich spontaan meldt in het winkelcentrum van jouw keuze?
crowke
@PhilipsFan1 augustus 2013 10:57
Point taken. Maar als je er een knappe hostesse bijzet die eerst even mee op je ipad/iphone kijkt lukt het vast wel. Social engineering is krachtiger dan je zou verwachten.
g4wx3
@TweakMac1 augustus 2013 10:10
dit lijkt me intressanter op het werk:

ik leen mijn oplader uit aan iemand met een iphone,

Daarna dus gebeurt dus de hack.

Dan een beetje later blokeer ik zijn iphone op afstand.

Voor geld zeg ik dat een vriend hem wel kan deblokeren.

Na 3 collega's stop ik er wel mee.
Anoniem: 499360
@g4wx31 augustus 2013 10:22
Ik denk dat je al na 1 collega op straat staat hoor.
NightFox89
1 augustus 2013 08:59
Anders gewoon een mini pc in een oplader bouwen en die automatisch een jailbreak laten uitvoeren? Zelfde idee in principe. Ja, met de huidige jailbreak methodes zie je weliswaar van alles op je scherm gebeuren, maar dat kan natuurlijk ook onderdrukt worden.
Anoniem: 434945
@NightFox891 augustus 2013 09:19
Voor jailbreaken moet die handmatig in dfu stand gezet worden.. Lijkt me niet dat veel mensen dat doen voor t opladen
NightFox89
@Anoniem: 4349451 augustus 2013 09:21
Er zijn verschillende jailbreaks (geweest) die dit automatisch voor je kunnen doen ;)
supersnathan94
@NightFox891 augustus 2013 12:22
De iPhone 5 jailbreak vereist juist dat het apparaat niet in DFU staat. De jailbreak vereist alleen wel een handeling op de iPhone zelf.

Deze methode kan, maar valt veel sneller op doordat onder andere cydia wordt geïnstalleerd en het kost toch ruim tien minuten waarin het apparaat onbruikbaar is en ook voortgang laat zien op het scherm. Bij installatie via provisioning profiel is er niets te zien.
NightFox89
@supersnathan941 augustus 2013 14:08
Wanneer je de standaard jailbreak tools gebruikt wel ja. Maar jij snapt neem ik aan toch wel dat je die commandos ook kunt doorvoeren zonder het visueel te weergeven? Die zit er in om het voor de gebruiker duidelijk te maken, maar is niet verplicht.

Zo'n hacker zal niet een standaard jailbreak tooltje gebruiken maar juist een eigen gecompileerde versie.
Anoniem: 478159
1 augustus 2013 08:58
In feite gaat het niet zozeer om een kwetsbaarheid in iOS, maar meer een ontwerpfout, waardoor elke usb-host wordt vertrouwd.
Dat klinkt als een kwetsbaarheid én een ontwerpfout.
thefox154
1 augustus 2013 09:13
Nu doet de auteur in bovenstaand stukje tekst overkomen alsof door die 100 dollar kosten niemand die hack zal misbruiken. het wordt zo wel erg gedownplayed. Als het een android lek was geweest dan was er moord en brand geschreeuwd...

Maar just my 2 cents:
iemand die dit gaat misbruiken is bewust opzoek naar bepaalde data, en zal niet het braafste jongetje van de klas zijn. Deze vult netjes een gestolen creditcard in met bijbehorende gegevens, plukt de data van de toestellen en voordat er iemand wakker is geworden is alles al geregeld. Apple weet uiteindelijk niets, sluiten fijn het account maar leed is al geschied.
SoloH
@thefox1541 augustus 2013 09:22
Ja lijkt net of 100dollar genoeg is, maar dat is het niet. Je moet je ook legitimeren en dat kost tijd, want ze trekken iedereen na.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee