Lek in iMessage kon berichten prijsgeven

Door: Raymon - 9 reacties

Als je Mac nog niet is bijgewerkt naar OS X 10.11.4, doe het dan vandaag nog. Apple heeft in de op 21 maart vrijgegeven update een serieuze kwetsbaarheid in iMessage opgelost die toegang tot onder andere de hele bericht­geschiedenis toelaat.

Dit blijkt uit een analyse van security-onderzoekers van Bishop Fox. De berichten-app op OS X voerde javascript die onderdeel is van een link uit, waardoor kwaadaardige scripts hun gang konden gaan.

Alles klikbaar

De berichten-app van OS X maakt links naar websites standaard klikbaar, zodat deze snel te openen zijn. Dat is handig, maar Apple schermde de functie onvoldoende af. Hierdoor konden kon javascript-code die met javascript:// begint worden verstuurd en werd deze bovendien automatisch klikbaar. Na een klik werd de potentieel kwaadaardige code binnen de sandbox van iMessage uitgevoerd. Met simpele javascript-code kon zo de complete berichten-database (inclusief alle bijlagen en foto’s) van de ontvanger naar een server van de aanvaller gekopieerd worden.

De kwaadaardige javascript-code kon ook achter een legitieme URL geplakt worden. De berichten-app voerde deze na een klik nog steeds uit, terwijl de ontvanger op een legitieme link dacht te klikken.

Lek gedicht

De onderzoekers hebben hun bevindingen pas gepubliceerd nadat het lek door Apple in OS X 10.11.4 is gedicht. Voor zover bekend is er geen misbruik van gemaakt. Een complete technische beschrijving is bij Bishop Fox te vinden en een voorbeeld van de javascript-exploit is op GitHub geplaatst.

Reacties

9 reacties
  • Profielfoto
    Shmoo

    En hoe zit dat met mensen die op een iets ouder systeem werken. Zijn deze ook veilig of is dit alleen een OS X 10.11.x dingetje.

  • Profielfoto
    H.deweg

    Hoop dat iemand mij een keer hackt, dan worden mijn berichten eindelijk een keer door iemand gelezen.

  • Profielfoto
    Raymon

    En hoe zit dat met mensen die op een iets ouder systeem werken. Zijn deze ook veilig of is dit alleen een OS X 10.11.x dingetje.

    Daar wordt niets over bericht in de bron en ik wordt ook uit de beveiligingsupdates van Apple niet veel wijzer. Wat je kunt doen is jezelf het volgende bericht sturen:

     
    javascript://www.bishopfox.com/research?prompt(1)
     

    En kijken of het klikbaar is en een dialoogvenster naar voor brengt. Indien ja, dan is het niet gepatcht.

  • Profielfoto
    Shmoo

    Ik vind dat sowieso kansloos zo’n berichten app op je computer. Het functioneert ook allemaal net niet zoals het zou moeten functioneren en tegelijkertijd staat dat ook weer symbool voor de manier waarop wij onze Macs gebruiken.
    .
    Piep-piep Piep-piep Ooo wacht.. **Shmoo neemt zijn iPhone in de hand, welke gewoon op tafel naast het toetsenbord ligt en ziet smsjes van Brombeer, Delta en KarelWillem.
    .
    Nu jullie weer! 700,- telefoons en straks wordt het nog zo gek dat de Mac een afstandsbediening voor je iPhone wordt. Nee wij zijn zo productief bezig natuurlijk dat we helemaal niet meer in de gaten hebben dat we er al heel lang zijn!
    #Knettergekkenwerk

  • Profielfoto
    McJohn

    @ Shmoo: Kansloos zou ik niet bepaald zeggen, ik gebruik de “Berichten” app op de Mac bijzonder vaak en vind het best een handig als ik eerlijk mag zijn. Ik kan trouwens ook véél vlugger tikken op een klavier dan via een iPhone, maar dat is mijn probleem.:roll:

    Destijds kon je via je adresboek op “MacOS X Tiger” SMS’en versturen. Vanaf Leopard hebben ze dit er weer uitgeflikkerd (om de één of andere godgeklaagde reden) tot ze met de Berichten.app kwamen aanhuppelen. Ik sprong een gat in de lucht want zoals ik al schreef, ik gebruik dat bijzonder vaak.

  • Profielfoto
    Shmoo

    Klopt helemaal, het tikken gaat makkelijk en snel maar waarom zou je de integratie willen. Kijk alleen al eens naar hoeveel processen er op je computer bij zijn gekomen in de laatste 5 jaar die helemaal niets te maken hebben je brood verdienen. Gewoon rotzooi, iCloud en andere iOS integraties die bijna niemand gebruikt maar wel allemaal iets staan te doen op de achtergrond. Dat comprimeren van RAM geheugen waar Apple een paar jaar geleden mee kwam aanzetten dat is niet ontstaan omdat je systeem zo lean was.
    .
    Waarom zou je berichten gebruiken als er diensten zijn als Slack dat echt voor professionals is ingericht en wel gewoon je berichten synct zoals het hoort.

  • Profielfoto
    csteelooper

    En hoe zit dat met mensen die op een iets ouder systeem werken. Zijn deze ook veilig of is dit alleen een OS X 10.11.x dingetje.

    Daar wordt niets over bericht in de bron en ik wordt ook uit de beveiligingsupdates van Apple niet veel wijzer. Wat je kunt doen is jezelf het volgende bericht sturen:

     
    javascript://www.bishopfox.com/research?prompt(1)
     

    En kijken of het klikbaar is en een dialoogvenster naar voor brengt. Indien ja, dan is het niet gepatcht.

    In 10.10.x is die code niet klikbaar als je ‘m in een bericht stuurt. Net zelf getest.

    @Shmoo: uiteraard mag je je eigen mening vormen en voeren over welke dienst dan ook, maar het verbaast me wel enigszins dat je zo sceptisch/pessimistisch bent over de Apple-diensten. Voorzover ik iCloud gebruik werkt het perfect (eigenlijk alles behalve iCloud Photo Library) en dat geldt in de regel ook voor iMessage. Zelfs m’n oude iPhone 4S draait nog keurig mee.
    Ook kan ik keurig netjes en zoals Apple dat belooft heeft bellen met m’n Mac via m’n iPhone. In sommige situaties is dat best handig, bijvoorbeeld als je om wat voor een reden dan ook een gesprek wilt opnemen. Dat gaat namelijk niet vanaf een iPhone tenzij je deze jailbreakt. Op de Mac heb je meerdere programma’s die dat kunnen, net als in Windows en in Linux (al is het voor die systemen moeilijker om je computer als “headset” of “carkit” te gebruiken in combinatie met een iPhone.

    Toegegeven: in de regel ben ik ook niet zo voor integratie van mobiel en desktop, maar juist bij Apple werkt het voor mij erg goed. Ik moet wel zeggen dat Microsoft met Windows 10 en Windows Phone 10 erg hard aan Apple’s stoelpoten aan ’t zagen is, maar dat geldt in meerdere opzichten en dat is verder buiten de focus van deze discussie.

  • Profielfoto
    McJohn

    Ik heb eigenlijk echt ook totaal geen klagen over iCloud. De statement dat “bijna niemand” dat gebruikt is wel erg kort door de bocht als je weet dat er 7,39 Miljard mensen op deze aardbol rondzwerven.

  • Profielfoto
    Shmoo

    En dat je een smsje leest op je iPhone en dan twee dagen later op je Mac dit berichtje nog steeds als ongelezen staat dat is jullie versie van geweldige software blijkbaar. Jullie hebben niet eens in de gaten hoe hard jullie software achteruit gaat, waarschijnlijk omdat jullie nooit verder kijken dan de software die bij je Mac en iOS device zit.
    Of dat je smsjes gaat verwijderen op je iPhone en dat je dan op je iPad en Mac hetzelfde nogmaals moet doen met precies dezelfde smsjes.
    .
    Ik gebruik iCloud ( geen iCloud Drive ) omdat er geen dienst in de wereld is die simpele tekstbestandjes heen en weer kan pushen tussen OS X en iOS. iA Writer, tikken op je Mac, opslaan en op je iOS device kijken en daar is het bestandje. Er is geen dienst in de wereld die dit beter kan dan iCloud al vanaf het begin maar het fundament is nog steeds de iA Writer app. Dat is een stukje software dat mij heel erg blij maakt en de integratie hierboven met iCloud zorgen dat ik niet gefrustreerd raak omdat dit de standaard is geworden. Ik ben gewend geraakt dat het zo eenvoudig en perfect werkt dus verwacht ik dat richting de toekomst het allemaal maar beter en eenvoudiger kan worden. Een leek als mij zou niet weten hoe je dit nog eenvoudiger kun maken, maar goed daarom werk ik ook niet bij Apple maar werkte daar vroeger wel mensen die met dit soort ideeën kwamen en dan keken wij erna en dan was het vooral, JA.. dat ik daar nog nooit aan gedacht heb. Goed bezig Apple! <– Zo werkte mijn Mac in 2007.
    .
    Apple van nu… komt 5 jaar later ( sinds iCloud en het iA Writer voorbeeld ) met een Berichten app en dan moeten wij niets anders lezen in de media dan lekken, berichten die niet versleuteld worden en het ergste van alles, het sycnen zoals hierboven in het iA Writer voorbeeld dat kunnen ze schijnbaar niet bij Apple inbouwen of niet direct maar daar moeten ze dan 3 jaar over doen. Terwijl ergens op een Duits/Japans kantoor waar 7 mensen gewoon met passie aan een app werken die brood op de plank brengt die kunnen dat schijnbaar wel.
    .
    Het heeft allemaal met prioriteit te maken. Ik kan mij heel erg kwaad maken over dit soort dingen. Apple staat zelf arrogant te blaten op een podium dat alleen Apple iets kan en dat alleen zij dit kunnen omdat ze de lat voor zichzelf zo hoog leggen en hoe geweldig wij wel niet zijn – nou ik zie het niet af aan hun software, sorry hoor. Volumes en winsten zijn prima, daar kijkt iedereen jaloers naar maar software is echt niet meer wat het geweest is. Dat er een hoop mensen dagelijks lelijke software gebruiken op welke computer of device dan ook dat geloof ik ook nog wel, want voor goede software te vinden moet je moeite doen.