[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]Geheel volgens de verwachting en zoals ook al in een eerder nieuwsbericht aangekondigd is de iPhone als eerste gehacked op het Pwn2Own event. De heren Vincenzo Iozzo en Ralf Philipp Weinmann waren in staat om binnen 10 minuten na het starten van het event de SMS database van een iPhone uit te lezen.

De heren deden dit door naar een van te voren opgezetten website te gaan welke Safari liet crashen waardoor men middels een return-to-libc attack toegang kreeg tot de SMS database van de iPhone. OSX is nogal kwetsbaar voor deze aanval door het nagenoeg niet aanwezig zijn van Address Space Layout Randomization (ASLR). Er moet wel bij worden verteld dat de voorbereidingstijd voor deze hack 2 weken in beslag nam. Het gaat hier trouwens om een standaard iPhone.

De winnaars hebben hiermee $15.000 dollar verkregen.

Als je het persbericht wilt lezen, klik dan even hier.

En meer info over een return-to-libc-attack kan je hier vinden.

We wilden er zelf al een nieuwsbericht over plaatsen, maar forumlid KJ was ons voor. Daarom alle eer bij deze natuurlijk aan hem.

Netjes hoor! Duidelijk een versoberend signaal voor Apple! Als ze d'r nou nog eens wat mee gingen doen!  

@ Cailin: Hoe bedoel je dat? Apple komt altijd keurig met security updates iedere keer als er gaten gevonden worden en het lijkt waarschijnlijk dat de veiligheid in in iPhone OS 4.0 alleen maar toe zal nemen...

Zou fijn als Apple pro-actief te werk zou gaan en niet reactief.
Dat is het verschil met Apple en anderen, het lijkt alsof Apple alleen reageert als anderen lekken vinden en zelf niet zoekt in hun software.
En dat is ook waar in het draadje van een paar dagen geleden op gewezen werd.

FanBoy om 16:10, 25-03-2010
Zou fijn als Apple pro-actief te werk zou gaan en niet reactief.
Dat is het verschil met Apple en anderen, het lijkt alsof Apple alleen reageert als anderen lekken vinden en zelf niet zoekt in hun software.
En dat is ook waar in het draadje van een paar dagen geleden op gewezen werd.

Ja, inderdaad. Twee keer zo'n dubieus veiligheidsverhaal in drie dagen is erg veel.
Dan wordt het echt tijd om een beetje vooruit te denken.

Toyota had ook een goeie reputatie als autofabrikant. Moet je nu eens kijken waar iedereen aan denkt als je "Toyota" zegt...

Ik bedoel inderdaad wat Fanboy zegt: Apple moet het vaak hebben van reacties in plaats van vooruit denken. Daarnaast is het ook zo dat Apple van alle grote OS fabricanten het langzaamst reageert op ontdekte beveiligingsgaten. Dus nee, ik ben niet onder de indruk van dat aspect van Apple's werkzaamheden.

In dat draadje van een paar dagen geleden ging het over de Mac, op de iPhone is het toch echt een ander verhaal. Daar wordt bijvoorbeeld gebruik gemaakt van code-signing en de hackers zeggen dat Appel daar niet eigenlijk nog niet streng genoeg mee is.

Wat betreft de desktop, ook daar is Apple niet alleen maar reactief bezig (in Snow Leopard werd bijvoorbeeld sandboxing ingevoerd om de veiligheid op te voeren), maar dat neemt niet weg dat ik graag nog meer actie op dat front zou willen zien.

Apple is dus wel degelijk pro-actief bezig, maar in de smartphone-markt is het nu de grootste speler en er moet nog aan die rol gewend worden. En als ik de stap van iPhone OS 2 naar 3 zag ga ik er van uit dat we in versie 4 ook weer grote stappen op veilgheidsgebied zullen zien...

Newsflash: onder water is iPhone OS het zelfde OS als Mac OS X. De grafische schil is anders en een groot aantal features is uitgeschakeld, maar het is het zelfde OS.

Ik lees in de openingspost anders dat men door Safari te laten crashen toegang verkreeg tot de SMS database. De opmerking is dat OS X nogal kwetsbaar is voor de hier uitgevoerde aanval als gevolg van het nagenoeg niet aanwezig zijn van ASLR. Dit laatste heeft dan ook direct impact op desktops en laptops en natuurlijk zelfs die iPad.

Het lijkt mij dan ook dat wanneer Apple nu, desnoods reactief (pro-actief zal immers niet meer lukken) dit punt aanpakt, dat gelijk op vrijwel al haar producten een positief effect zal hebben. Graag zou ik zien dat Apple haar gebruikers in deze wat serieuzer zou willen nemen.

Ik ben er niet echt van onder de indruk, die hackers hadden zelf beschikking over de gehackte iPhone, ze moesten dus zelf op die iPhone in Safari naar een of andere dubieuze site gaan om Safari te laten chrachen. Dan kan je ook tocht meteen de SMS'jes uitlezen.

Ik zou veel meer onder de indruk zijn als ze het voor elkaar kregen om een iPhone te hacken van iemand die gewoon langs loopt met zijn iPhone in de zak, en waar de hackers dus geen fysiek toegang toe hebben en de eigenaar dus geen actie voor hoeft te ondernemen, dan ben je pas een hacker  

Cailin Coilleach om 18:01, 25-03-2010
Newsflash: onder water is iPhone OS het zelfde OS als Mac OS X. De grafische schil is anders en een groot aantal features is uitgeschakeld, maar het is het zelfde OS.

Ja en nee, code-signing is iets wat op Mobile OS X wordt toegepast en volgens mij niet op Snow Leopard. En de rechten liggen bijvoorbeeld ook anders.

En zoals je zelf ook al schrijft, een groot aantal features is uitgeschakeld en dat maakt ook een verschil.

Dus volgens mij heb je in theorie gelijk, in de praktijk ligt het anders.

@ TRML:
Wees toch maar onder de indruk, want voor de uitbuiting van dit security lek heb je helemaal geen fysieke toegang nodig tot de iPhone. Wat je nodig hebt zijn iPhones die jouw aangepastte, gevaarlijke website bezoeken. En het is heel goed mogelijk een site te maken waar je binnen korte tijd heel veel iPhone bezoekers kan verwachten. Tel uit je winst.

@ Robert:
Wat betreft code signing voor applicaties e.d. heb je gelijk. Echter, dit security gat wordt niet uitgebuit door apps die worden geinstalleerd, maar door een website die je met een van Apple's eigen producten bezoekt.

Sterker nog, in theorie werkt dit gat dus ook met het desktop OS X en kan men dus nog veel lulligere dingen uithalen met je Mac.

(Bewerkt door Cailin Coilleach om 9:14, 26-03-2010)

Ja, dat snap ik wel, alleen is er dan toch nog een actie nodig van de iPhone eigenaar in de vorm van naar een website te gaan. Als je nooit surft op je iPhone is er geen paniek. Ik bedoel te zeggen dat ik pas onder de indruk ben als ze (de hackers) in staat zijn je iPhone te hacken zonder enige actie van de eigenaar, dus als je alleen maar langs loopt met de iPhone in je zak.

TRML om 9:22, 26-03-2010
Ja, dat snap ik wel, alleen is er dan toch nog een actie nodig van de iPhone eigenaar in de vorm van naar een website te gaan. Als je nooit surft op je iPhone is er geen paniek. Ik bedoel te zeggen dat ik pas onder de indruk ben als ze (de hackers) in staat zijn je iPhone te hacken zonder enige actie van de eigenaar, dus als je alleen maar langs loopt met de iPhone in je zak.

Ja en de iphone is gelukkig niet bedoelt om te surfen. Wat een kortzichtigheid.....

Slechts een website bezoeken is toch redelijk "geen echte actie" van de gebruiker.
1 veelbezochte website met verkeerde, geprepareerde, reclames er op en je bent het haasje.

Daar gaat het niet om, of je nu wel of niet surft op je iPhone, zal mij een biet wezen. Ik vind je pas een goede hacker als je jezelf toegang tot een device kan verschaffen zonder enige tussenkomst van iemand anders en je zelf ook niet fysiek aan het device kan komen. Dus met andere woorden, probeer eens een iPhone te hacken van iemand die gewoon langs loopt en die geen actie onderneemt, dan ben je een goede hacker  

Ik ben toch wel ff geschrokken van deze hack-actie.
En dat doe ik niet snel, zoals ik in dit draadje meldde.
Het betreft een 'gewone' iPhone (dus geen jail-break)
en men kan data benaderen die dat niet hoort te zijn.
Een serieus "lek" en zelfs een werkende "exploit",
dat gaat behoorlijk ver voor een iPhone-hack !

Ik zal er zelf niet bang van worden, maar ik vrees
dat minder attente iPhone-gebruikers erin kunnen
tuinen als men het in virus-vorm zou gieten.
Of als men gericht een bepaalde iPhone wil hacken
vanwege unieke gegevens die er wellicht op staan.

Maar goed, Apple zal het werkelijke risico inschatten
en zelf bepalen welke actie ze hierop onderneemt.

@ TRML:
Excusez le mot, maar: ga toch weg man!

Ben jij ook pas onder de indruk van een inbreker als hij je credit card uit je portemonee, in je jas, aan de kapstok kan gebruiken voor een aankoop zonder dat hij daarvoor een deur of een raam heeft open moeten maken?

Of, "Je bent pas echt een hacker als je mijn password niet hoeft te brute-forcen, maar het via psi-krachten uit mijn brein kan lezen!".



EDIT:
En inderdaad, wat jij voorstelt is verdraaid moeilijk, vanzelfsprekend! Want als Wifi uitstaat, evenals Bluetooth, evenals 3G en de user doet helemaal niets met de iPhone en er draaien ook geen extra stukjes software op de iPhone, dan is ie inderdaad helemaal veilig.

Maar dan kan je'm net zo goed vergelijken met een PC zonder web browser met alleen maar MS Word, die via dial-up verbonden is aan het Internet. Daar kom je ook met de grootste moeite niet binnen.

Neemt niet weg dat het ook in de situatie die jij beschrijft theoretisch nog mogelijk is om via het SMS systeem ongewenste acties uit te voeren. Stuur een "kapot" SMS bericht met wat extra commando's en je kan alsnog vervelende dingen uithalen. BRON. Volledig onzichtbaar voor de eigenaar van de iPhone, zonder enige acties van zijn kant, toch de (weggefilterd). Nu wel onder de indruk?

Het belangrijkste stukje uit dat artikel:

The other thing that makes it really bad is the process that handles SMS messages, CommCenter, runs as root and has no restrictions. By comparison, the browser runs as the lowly "mobile" user and has a sandbox, which prevents it from doing things like forking or sending SMS messages.

De browser runt normaal onder de user die gelimiteerde access heeft tot de iPhone en die alleen toegang heeft tot jouw data. Met de "root" user kan je op de iPhone werkelijk -alles-. Dankjewel Apple, voor dit wijze ontwerpbesluit

Toegegeven, Apple heeft deze bug heel snel gepatched, maar dat betekent niet dat dit het enige gat was dat zo werkt.

(Bewerkt door Cailin Coilleach om 10:21, 26-03-2010)

Ben jij ook pas onder de indruk van een inbreker als hij je credit card uit je portemonee, in je jas, aan de kapstok kan gebruiken voor een aankoop zonder dat hij daarvoor een deur of een raam heeft open moeten maken?

Daar gaat het nu helemaal niet over, ik vind gewoon dat er te veel onzekere variabelen nodig zijn om je druk over te maken. Je moet eerst dit doen dan moet je dat doen en dan kan er misschien iets gebeuren. ik zeg ook niet dat het geen slimme gasten zijn die hacker maar dit is gewoon niet wat ik onder hacken versta.

en omdat ik dat zo vind hoef ik toch niet WEG te gaan, wat is dat nou voor een onzin reactie...

Stel dat de iPhone van een belangrijke persoon wordt gejat,
zonder dat deze de kans heeft gehad om de iPhone te locken.
De daders weten dat ze vervolgens zo snel mogelijk die "Push"
moeten uitzetten, zodoende Find My iPhone deactiveren en dan
via een WiFi (niet via 2G/3G/Edge van de telco) on-line gaan
om via het lek zèlf de malafide code binnen te sluizen...

Ik denk dat er best wel wat mensen zijn die graag de SMS-jes
uit de iPhone van Maxime Verhagen willen vissen, vermoed ik.

@TRML: Ik denk dat CC dit niet letterlijk bedoelde. Wel lijkt het of jij hier wilt doordrukken dat deze hacker voor jou geen hacker is. Prima. Je bent vrij om je eigen definitie daarvan te handhaven. Kijk dan echter niet vreemd op wanneer anderen het niet met je eens zijn over de implicaties. Wanneer je citroenen peren noemt bijt je in het zuur!

Hoe groot is de kans dat jou dit overkomt?
Die is gewoon te verwaarlozen klein. Als je op het internet
zit loop je altijd gevaar of dacht je dat de meer criminele
hackers ook hun taktieken prijsgeven.
Hoe komen anders die talloze computers in een botnet terecht?

Hoe groot is de kans dat jou dit overkomt?

Stappenplan:

1. Schrijf een mooi artikel, of zet een toffe nieuwe site op voor iPhone bezoekers.
2. Plaats de vereiste exploit op je site.
3. Adverteer je artikel/site op Reddit, Digg, Macfreak, Onemorething.
4. Verzamel alle info die je wilt van bezoekende iPhones.
5. ???
6. Profit!


Alternatief stappenplan:

1. Hack MacFreak.
2. Voeg de exploit toe aan de code van de front page (wijziging OF in PHP code, OF in database)
3. Verzamel alle info die je wilt van bezoekende iPhones.
4. ???
5. Profit!


EDIT:
Gewetensvraag aan de beheerders: Jullie houden toch wel netjes de checksums van je sources bij om wijzigingen op te merken. Toch?

(Bewerkt door Cailin Coilleach om 12:15, 26-03-2010)

(Bewerkt door Cailin Coilleach om 12:16, 26-03-2010)

Dat kan ik zelf ook wel bedenken. Maar de kans dat dit
je daadwerkelijk overkomt blijft buitengewoon klein.
De kans dat je een klap op je hoofd krijgt en iemand je iPhone jat
is echt veel groter.

Ik ontken niet dat Apple meer moet doen aan een veiliger systeem
en dat MS op dit punt beter bezig is.

Overigens de opmerking dat Apple reageert op andere is natuurlijk
onzin dat geld voor alle bedrijven. Kijk bijvoorbeeld eens op
http://www.milw0rm.com/ naar de enorme hoeveelheid ActiveX exploits.