De hack die enkele weken geleden in het nieuws kwam en die het mogelijk maakt een iOS-apparaat te kraken met een vervalste oplader, is niet zomaar uit te voeren. Er moet een developer-account bij Apple worden aangemaakt, daarnaast is het probleem opgelost in iOS 7.
Enkele weken geleden werd bekend dat kwaadwillenden een iPhone of iPad kunnen kraken door een vervalste 'oplader' aan te bieden. Woensdag hebben de onderzoekers de details van hun bevindingen op de Black Hat-beveiligingsconferentie in Las Vegas bekendgemaakt. Daaruit blijkt dat het probleem niet zomaar te misbruiken is.
In feite gaat het niet zozeer om een kwetsbaarheid in iOS, maar meer een ontwerpfout, waardoor elke usb-host wordt vertrouwd. De onderzoekers maakten gebruik van dat principe om een kleine computer, opgebouwd rond een opensource BeagleBoard-moederbord, te vermommen als een oplader. Die 'oplader' pairt na het aansluiten ongevraagd met het iOS-toestel, waarna er een provisioning-profiel wordt geïnstalleerd. Een dergelijk profiel wordt bijvoorbeeld gebruikt voor bedrijven om applicaties te kunnen installeren op telefoons van medewerkers, zonder dat die applicaties in de App Store hoeven te staan. Ook ontwikkelaars testen met behulp van een provisioning-profiel.
Is het provisioning-profiel geïnstalleerd, dan kunnen de onderzoekers zelf applicaties installeren op het toestel, ook als de usb-verbinding met het toestel wordt verbroken. Het profiel blijft aanwezig op het toestel totdat de gebruiker het bewust verwijdert. Het installeren van apps kan ongemerkt; ontwikkelaars kunnen via het provisioning-profiel applicaties installeren zonder dat die in het springboard terecht komen. Die applicaties kunnen daarna in de achtergrond worden gestart, waarmee bijvoorbeeld de locatie van een gebruiker in de gaten kan worden gehouden. Ook kunnen screenshots van het scherm worden gemaakt.
Een flinke beperking is echter dat een developer-account benodigd is om een proviosning-profiel te kunnen installeren. Daarvoor moet een account bij Apple worden aangemaakt, wat minimaal 100 dollar per jaar kost. Bovendien weet Apple daardoor de identiteit van de kwaadwillende. Daarnaast kan een normaal developer-account maximaal 100 provisioning-profielen installeren, waardoor het lastig is om de beveiligingskwestie op grote schaal te misbruiken.
Om het provisioning-profiel te installeren, moet de 'oplader' bovendien over een internetverbinding beschikken: voor het aanmaken van het profiel moet de udid van het iOS-toestel naar de server van Apple worden gestuurd, waarna het profiel wordt teruggestuurd. Volgens de onderzoekers kan de oplader worden voorzien van een wifi-chip of van een mobiele dataverbinding, maar dat maakt de hack meteen prijziger.
In iOS 7 heeft Apple het probleem overigens al opgelost. De nieuwe versie van iOS laat een computer die via usb wil pairen, niet zomaar toe. Eerst moet een gebruiker daarvoor toestemming geven.