IPad en iPhone zo lek als een zeef
ROTTERDAM - De iPhone, iPad en iPod Touch kampen met een ernstig beveiligingslek waarlangs hackers software kunnen installeren. De kwetsbaarheid heeft te maken met PDF-bestanden.
Het gaat in feite om twee kwetsbaarheden, waarvan de ene een 'jailbreak' voor de iPhone mogelijk maakt. Gebruikers kunnen daarvoor speciale PDF-documenten inladen van een site, waarna ze eigen software op het toestel kunnen installeren. Op deze manier kan je ook de simlock van een iPhone 4 verwijderen. Vervolgens gebruikt de software een fout in de iOS-kernel, waardoor aanvallers hogere rechten kunnen verkrijgen op iPhones en iPads, zegt securitybedrijf Vupen. Dit lek zit in de PDF-software die Apple heeft ingebouwd in browser Safari in zijn mobiele besturingssysteem iOS.
Het ander PDF-lek werd vorige week op de Black Hat hackersconferentie blootgelegd door beveiligingsexpert Charlie Miller, en draait rond de manier waarop PDF-software van Adobe ingebedde lettertypes weergeeft. Die fonts kunnen kwaadaardige code in zich dragen, die via dit lek wordt uitgevoerd op het doelwit. Deze kwetsbaarheid is ook van toepassing op besturingssystemen Windows, Unix en Mac OS X, meldt The Register.
Oplossing
Softwaregigant Adobe, die software ontwikkelt waarmee PDF-bestanden gelezen kunnen worden, haastte zich om te zeggen dat het PDF-formaat een ISO-standaard is, en dat fouten van het formaat niet automatisch fouten van Adobe zijn. Het bedrijf werkt aan een oplossing. Net als Apple, dat zegt met een patch te komen in de volgende veiligheidsupdate. Het is niet duidelijk wanneer die er komt.
Een mogelijke oplossing voor ongeruste gebrukers is volgens Gizmodo hun toestel zelf te jailbreaken om dan de niet-officiële PDF-waarschuwingsapp 'PDF loading warner' te installeren via app store Cydia. Die app vraagt gebruikers toestemming telkens als een PDF-bestand wordt geopend. Apple waarschuwt wel dat met een dergelijke actie de garantie op het toestel vervalt.
Misbruik
Apple-woordvoerster Natalie Harrison wilde aan de New York Times geen commentaar geven op de vraag of het lek al misbruikt werd, maar volgens beveiligingsbedrijven is dat slechts een kwestie van tijd.
Volgens het Duitse Federale Bureau voor InformatieVeiligheid geldt de kwetsbaarheid minstens voor de iPhones met iOS versie 3.1.2 tot 4.0.1, de iPads met iOS 3.2 tot 3.2.1. en de iPod Touch met iOS 3.1.2. tot 4.0. De dienst waarschuwt gebruikers geen PDF-documenten te openen op die toestellen.
05/08/10 16u14