Apple repareert groot door Nederlander ontdekt lek in Shortcuts

Door: Raymon Mens - 4 reacties

Naast iOS 12.1.4 heeft Apple donderdagavond ook een nieuwe versie van de Shortcuts-app (in het Nederlands: Opdrachten) uitgebracht. Versie 2.1.3 van deze app dicht een groot lek dat het mogelijk maakte om systeembestanden via de app binnen te halen.

Dat was een serieus lek. Via de Shortcuts-app konden bestanden buiten de sandbox van iOS uitgelezen worden. Het werd ontdekt door Sem Voigtländer, een student aan Fontys Hogeschool voor ICT in Eindhoven.

Lek in Shortcuts-app

Hoewel iOS naar de gebruiker geen bestandssysteem met mappen toont, is een iPhone net als een Mac gewoon een kleine unix-computer. Via de Shortcuts-app was het mogelijk om buiten de sandbox om bestanden uit mappen te vissen.

Dat een app de bestanden van andere apps uit kan lezen, vormt natuurlijk een privacyrisico. Voor Apple was het vervelend dat ook allerlei systeembestanden uitgelezen konden worden. Bijvoorbeeld de drivers voor de modems die gebruikt worden. Dit was mogelijk door in de functie ‘Haal bestand op’ van de Shortcuts-app gewoonweg een unix-pad naar het bestand in te voeren.

Shortcuts firmware
Klik/tap voor groter.

Het lek is in versie 2.1.3 van de Opdrachten-app opgelost. Naast de Nederlandse student bedankt Apple ook de Amerikaanse beveiligingsonderzoeker Avimanyu Roy voor het vinden van een lek in de app.

Reacties

4 reacties
  • Profielfoto
    arno1975

    Titel is verwarrend

  • Profielfoto
    JoopJoopJoop

    @arno1975,

    Deze Telegraaf journalist, heeft nog nooit van komma’s gehoord…

  • Profielfoto
    arno1975

    Aha, nou vat ik hem… ik had daardoor eerlijk gezegd eigenlijk geen zin meer om het artikel zelf te lezen🤔

  • Profielfoto
    farl4web

    Titel is incorrect