Skip to main content

Groot beveiligingslek bij Apple, iPhone en iPad apparaten kwetsbaar

(Image credit: Shutterstock / Neirfy)

Beveiligingsonderzoekers hebben serieuze kwetsbaarheden onthuld in Apple's oorspronkelijke Mail applicatie voor iPhone en iPad apparaten, die hackers in staat stellen om persoonlijke informatie uit te lezen zonder dat het slachtoffer hiervan af weet.

Een van de fouten wordt bestempeld als een nul-klik op afstand, wat betekent dat het slachtoffer wordt geïnfecteerd zonder enige interactie met een kwaadwillende download of website. In dit voorbeeld wordt het apparaat geïnfecteerd als de gebruiker een opgetuigde e-mail opent die wordt afgeleverd door de hacker.

De bugs werden ontdekt door het Amerikaanse gevestigde bedrijf ZecOps, die op woensdag een verslag publiceerden waarin wordt verklaard dat "met groot vertrouwen" de net ontdekte gebreken in het wild op grote schaal zijn uitgebuit".

Volgens het verslag, is de bug voor het grootste deel van het decennium onopgemerkt gebleven, die als eerste verscheen in Apple's Mail applicatie met iOS 6, die werd uitgebracht in 2012.

Apple beveiligingsfouten

Hoewel Apple wereldwijd geprezen wordt voor zijn uitstekende digitale beveiligingsstandaarden en waterdichte codes, zijn hun apparaten onaantastbaar. 

De nieuw ontdekte fouten worden gelabeld als zero-days (of 0-dagen), wat betekent dat Apple zich niet bewust was van het bestaan van deze fouten, en daarom niks had om ze te voorkomen. Dit maakt de exploitatie zeer waardevol voor kwaadwillende personen op de zwarte markt, vooral gezien de relatieve zeldzaamheid van zero-days die van invloed zijn op Apple toestellen.

ZecOps beweert dat het de gebreken in een gecontroleerde labratorium setting heeft geverifieerd nadat klanten ongebruikelijke storingen van het apparaat hadden gemeld. Het bedrijf heeft naar verluidt ook bewijsmateriaal geleverd wat is gebruikt om meerdere prominente targets aan te vallen, inclusief werknemers van een Fortune 500 bedrijf en een leidinggevende van een Japans telecombedrijf.

"We zijn ons bewust van meerdere triggers in het wild die zijn begonnen in januari 2018 op iOS 11.2.2... Het is mogelijk dat de aanvallers deze kwetsbaarheid zelfs eerder hebben gebruikt. We geloven dat deze aanvallen een correlatie hebben met tenminste een nationale staat dreiging operator of een nationale staat die de exploitatie kocht van een onderzoeker van een derde partij", zo schreef ZecOps.

Het bedrijf meldde zijn bevinding aan Apple eind maart, met een stille patch voor beide kwetsbaarheden voor de bètaversie op 15/16 april.

"Om deze problemen te verminderen, kun je de nieuwste bèta die er beschikbaar is gebruiken. Als het gebruik van een bèta versie niet mogelijk is, overweeg dan de Mail applicatie uit te schakelen en gebruik Outlook of Gmail die niet kwetsbaar zijn", zo adviseert ZecOps.

Apple heeft niet meteen gereageerd op ons verzoek voor een reactie, maar er wordt verwacht dat het bedrijf ter zijner tijd een wijdverspreide oplossing uitrolt voor de miljoenen getroffen apparaten.