De Nederlanders lieten de hack zien tijdens de wedstrijd Mobile Pwn2Own gedurende de EUSecWest securityconferentie in Amsterdam, deze woensdag. De aanval werkt op iOS 5.1.1. en de developerversie van iOS 6 “en mogelijk ook op de iPhone 5", zeggen Joost Pol en Daan Keuper van het Nederlandse bedrijf Certified Secure. Volgens hen werkt de hack ook op de iPad.

Beide onderzoekers zeggen dat de gebruikte exploit voor het gat in WebKit in een paar weken was gemaakt, zonder daar elk uurtje van de dag aan te spenderen. Daarmee, zeggen ze, is aangetoond dat er maar weinig tijd nodig is om met een manier te komen om een ontdekte kwetsbaarheid in iOS te misbruiken.

Precieze werking blijft geheim

Als een gebruiker de website bezoekt waarop de code actief is, worden de beveiligingsmechanismen in Safari omzeild. “We kunnen onder meer de code stoppen in advertenties op nieuwssites, bijvoorbeeld", zegt Pol, die eraan toevoegt dat ook als de code ergens anders op een website wordt gestopt, het zal werken. De onderzoekers willen niet verduidelijken hoe de code exact werkt. “We willen niet dat iemand er mee aan de haal gaat."

Beide mannen zijn benieuwd naar de reactie van Apple. “Apple moet met een update komen en dan moeten mensen ook nog eens zo snel mogelijk die upgrade doen", zegt Pol, die overigens van mening is dat de iPhone nog steeds het meest veilige toestel is die er tot op heden bestaat. Pol en Keuper verdienden 30.000 dollar met de exploit, naast nog wat andere prijzen.