iPhone beveiligingslek maakt PIN overbodig

Dat heeft beveiligings- en IT-blogger Bernd Marienfeldt ontdekt. In een artikel waarin hij het business security framework van de iPhone omschrijft, is hij een kwetsbaarheid in de databeveiliging tegen het lijf gelopen.

Marienfeldt heeft samen met beveiligingsexpert Jim Herbeck het beveiligingslek inmiddels 3 keer kunnen reproduceren met iPhones die niet gejailbreakt waren en waarop verschillende versies van het OS waren geïnstalleerd, de nieuwste incluis. Alle telefoons waren 'beschermd met de viercijferige PIN-code.

Ubuntu Lucid Lynx

Wanneer je een iPhone aansluit op OSsen als Ubuntu versies vóór 10.04 LTS, Apple Macintosh, Windows 2000 SP2 of Windows 7, heb je beperkte toegang tot de telefoon en kun je slechts de DCIM map bereiken. Marienfeldt ontdekte echter dat wanneer je hem aankoppelt op een computer met de nieuwste versie van Ubuntu Lucid Lynx OS erop, de toegang plotseling veel uitgebreider is. De iPhone hoeft hiervoor niet ingeschakeld te zijn.

Schrijftoegang

Mensen met snode plannen zouden bij alle muziek, foto's, video's, podcasts, dictafoon opnames, Google safe browsing databases en spel-content kunnen. De snoodaard zou lees- en schrijftoegang hebben en niet eens sporen achterlaten, volgens Marienfeldt.

Bij misbruik zou "de schrijftoegang ook kunnen leiden tot een buffer overflow", zegt Marienfeldt. Die zou volgens hem dan weer op zijn beurt kunnen leiden tot volledige schrijftoegang, wat het wellicht zelfs mogelijk maakt voor de hacker om te bellen.

Marienfeldt acht zijn vinding voornamelijk van belang voor zakelijke gebruikers die "in de overtuiging verkeren dat de content van hun iPhone 3GS goed beveiligd is door encryptie met de PIN-code authenticatie."

Apple is op de hoogte gesteld van het lek, maar heeft het nog niet gedicht en nog geen voorspelling gedaan wanneer het probleem opgelost zal worden.

Bron: Techworld

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.