Ook iOS 7.0.2 bevat toegangsschermlek

Door: Jan David Hanrath - 15 reacties

Twee dagen nadat iOS 7.0.2 een beveiligingsbug in het toegangsscherm oploste, waarmee het mogelijk was om alle foto’s op een vergrendelde iPhone te bekijken, is het opnieuw raak. Op Youtube is een filmpje verschenen van iemand die met iOS 7.0.2 toegang krijgt tot de telefoon-app op een vergrendelde telefoon.

Het vereist wel twee iPhones een een flink aantal stappen, maar wanneer je genoegen schept in het plagen van een huisgenoot door door zijn of haar contactpersonen te grasduinen en te bellen, dan is het een mogelijkheid.

Het begint met Siri, waarmee je vanaf het toegangsscherm een telefoongesprek initieert. Daarna schakel je over op FaceTime en goochel je wat met slapen, wakker worden, opnemen en ophangen. Hierna krijg je toegang tot de telefoon-app, de recente gesprekken, de contactpersonen en (visual) voicemail.

Heel spannend is deze bug overigens niet, want in de code-slot settings van de Instellingen app kun je eenvoudig toegang tot Siri uitschakelen vanaf het toegangsscherm. Daarbij komt dat wanneer toegang tot Siri vanaf het toegangsscherm wél aanstaat, je sowieso de hele wereld kunt bellen door gewoon een nummer in te spreken. Het lek betreft dus feitelijk toegang tot iemands contactpersonen.

Reacties

15 reacties
  • Profielfoto
    iBenBen

    Want dat gaan we allemaal doen..

  • Profielfoto
    klonic

    Ik vind het toch wel triest dat dit al de zoveelste keer is dat er zo’n bug in iOS zit.

  • Profielfoto
    LdeV

    Wat ik me dan altijd afvraag.. Hoe komen ze in godsnaam achter zo’n lek? Wie gaat dit proberen?

  • Profielfoto
    knekkie

    ondanks deze fix is multitasking wel instabiel geworden.
    Killen van Apps is op deze manier niet altijd mogelijk.

    Uiteraard heb ik dit al gemeld bij Apple. Maar vele zijn mij voor gegaan

  • Profielfoto
    Marius1976

    @LdeV

    Veel interessanter is: waarom ontdekt het dev-team van apple dit zelf niet; of nog interessanter: waarom bedenkt men niet van te voren dat dit soort kwetsbaarheden altijd voorkomen moeten worden?

    De tijd dat apple synoniem stond voor veilig en betrouwbaar ligt alweer even achter ons helaas.

  • Profielfoto
    SunKeeper

    Wat doet hij als het balkje in het beeld komt?

    Dit is toch niet leuk, want als je niet ziet hoe er gaat kun je het ook niet reproduceren.:(

  • Profielfoto
    essiw

    @LdeV, 3 redenen: Iemand merkt het per ongeluk, iemand doorspit de code om fouten te vinden (met computerprogramma’s e.d.) of iemand zit de hele dag door dingen uit te proberen om zo maar het codeslot te ontwijken na uren en uren en uren proberen.

    @Marius, daar is een simpele verklaring voor. Zoals je ziet is dit nogal een complexe manier om bij iemands gegevens te komen. Als je gaat kijken hoeveel mogelijke wegen je kan maken (door andere apps te openen e.d.) die naar zo’n lek kunnen leiden zit al snel aan veel opties die je allemaal door moet spitten wil je dit vinden. En dat niet 1x, maar bij elke kleine bugfix of wat dan ook opnieuw.

    Verder vind ik dit niet boeiend, zo erg is het nou ook weer niet dat dit gebeurd en wie gaat dit doen voor een paar contactpersonen, ik ben de president niet…

  • Profielfoto
    Marius1976

    @essiw

    Je snapt mijn vraag niet, of ik snap jouw redenatie niet. Als beveiliging zo werkt als jij nu stelt, dan kun je dus met elke nieuw gelanceerde app dus weer gaan twijfelen of je systeem wel veilig is. Met OS X is dat toch ook niet zo?
    Het is dus bijzonder dat privacy gevoelige informatie (ik vind een adresboek daar onder vallen) dus zo gemakkelijk toegankelijk is.

    Je reactie ‘wie gaat dit doen voor een paar contactpersonen’ is ontzettend naïef. Het gaat er niet om of het wel of niet belangrijk is, maar dat het gewoon niet voor zou mogen komen.

  • Profielfoto
    Frank1964

    gelukkig, we hebben weer iets om ins druk over te maken……
    dit zijn echt van die dingen die dagelijks voorkomen….. allemaal je iPhone weg gooien, want dit wil je toch niet….. gooi ze dan maar mijn richting op want ik wil ze wel…… kortom, boeien, deze “bug”

    Het lijkt wel of het er alleen maar om gaat om allemaal van dit soort dingen te zoeken en een fabrikant daar op af te branden. Gebruik dat ding gewoon en ik verzeker je dat je deze bug echt niet mee zal gaan maken.

  • Profielfoto
    1984

    Ze zouden Steve Wozniak weer een belangrijke functie bij Apple moeten geven.
    http://www.youtube.com/watch?v=hc2_yLXy9O4

  • Profielfoto
    Dydefox

    Ik begin een beetje moe te worden van al die “lekken” en “privacygevoelige verstoringen”…de gemiddelde forum-, gmail- en internetgebruiker heeft al zovaak de identiteit (en contactpersonen) geruild voor gratis mailen, reageren en stemmingmaken. Ik zie Apple vrijwel direct alle vermeende problemen oplossen met een nieuwe bugfix, terwijl 80% van alle Androidgebruikers op verouderde versies draait en de apparatuur wagenwijd open heeft staan. En dan begin ik maar niet over Windows mobile, want de integratie met hun cloudoplossingen en je adresboek gaat verder dan de gemiddelde gebruiker vermoedt. Maar ik doe niet aan stemmingmakerij. Laat iedereen kiezen waar de gegevens naar toe mogen gaan en als je een probleem daarmee hebt: vorder je privacy terug.

  • Profielfoto
    Volkie

    Verder vind ik dit niet boeiend, zo erg is het nou ook weer niet dat dit gebeurd en wie gaat dit doen voor een paar contactpersonen, ik ben de president niet…

    Maar als ik nou jou iPhone ’s avonds als jij aan het slapen bent een duur nummer in laten we zeggen Australie laat bellen, de telefoon vervolgens terug leg waar hij lag (al bellend) en zelf lekker gaan slapen, is het wat minder prettig.

    Het lijkt wel of het er alleen maar om gaat om allemaal van dit soort dingen te zoeken en een fabrikant daar op af te branden.

    Tja, dat vinden mensen schijnbaar leuk want het gebeurde jaren bij Microsoft (en nog steeds wel) en nu ook bij Apple. Iets van hoge bomen en wind…..

    En dan begin ik maar niet over Windows mobile, want de integratie met hun cloudoplossingen en je adresboek gaat verder dan de gemiddelde gebruiker vermoedt.

    Windows Mobile bestaat al een tijdje niet meer maar belangrijker, heb je hier bewijs voor? Links ofzo van bedrijven die een goede reputatie hebben in het melden van dit soort zaken?

  • Profielfoto
    essiw

    @Marius, Bij OSX is dat ook zo, we hebben trojan horses gehad door middel van Word en Java.

    Het is gewoon enorm ingewikkeld om van die checks te doen, vooral als op het laatste moment kleine dingen veranderd moeten en er doorheen gedrukt moeten worden.

  • Profielfoto
    Marius1976

    @essiw
    Dat is iets heel anders. In dat voorbeeld gaat het dan om externe malware, dat is echt iets héél anders. Hier gaat het om een standaard feature van de telefoon en diens OS zelf, en de onveiligheden daar dus in.

    OS X is veilig; ongeacht het aantal programma’s/apps whatever er voor geschreven is. De veiligheid van een OS hangt niet af van het aantal apps dat er voor is (Wat jij beweert in je vorige post naar mij).

    Uiteindelijk is de grootste factor van belang de eindgebruiker zelf. Echter bij de stommiteiten die hier worden ontdekt/beschreven kan de eindgebruiker daar dus zelf niets aan doen (behalve dan z’n telefoon niet gebruiken/meenemen/in een kluis neerleggen).

  • Profielfoto
    csteelooper

    (…) behalve dan z’n telefoon niet gebruiken/meenemen/in een kluis neerleggen.

    @Marius1976 in dit geval valt dat nogal mee, hoor…
    Dat deze bug nu weer in iOS7.0.2 zit is natuurlijk niet goed, maar het blijft wel een zéér ‘hypothetische’ bug… Om er gebruik van te maken moet je wel héél veel handelingen in exact de juiste volgorde doen en daarbij dan nog eens hopen dat het goed gaat.
    Tel daarbij op dat de kwaadwillende (degene die gebruik wil maken van de bug) zowel de iPhone van het slachtoffer alsook z’n eigen toestel in fysieke nabijheid dient te hebben, en het wordt wel erg onwaarschijnlijk dat deze bug daadwerkelijk misbruikt wordt. Zelfs al voldoe je aan alle voorwaarden, dan nog is het best wel moeilijk om deze bug ook daadwerkelijk te kunnen benutten, simpelweg omdat ze zo vaak niet werkt.

    Deze bug is dus in potentie wel kwaadaardig, maar in werkelijkheid is het risico niet echt groot. Dat neemt uiteraard niet weg dat Apple wederom snel een fix moet (en zal) uitbrengen om een en ander dicht te gooien.