Nieuwe manier ontdekt om iPhone-codeslot in iOS 6.1 te omzeilen

Onderzoekers hebben een nieuwe variant ontdekt van de kwetsbaarheid om het iPhone-codeslot te omzeilen.
Michel Lusthof -

CodeslotOnderzoekers hebben opnieuw een manier ontdekt om het codeslot van een beveiligde iPhone te omzeilen. Dat meldt Ars Technica. Het zou gaan om een soortgelijke methode zoals bij de kwetsbaarheid die eerder deze maand aan het licht kwam. Hierbij bleek het mogelijk om via een serie handelingen toegang te krijgen tot de Telefoon-applicatie en daarmee tot contactinformatie, telefoonnummers en Voicemail-berichten.

In de nieuwe methode is er wel een klein verschil ten opzichte van de methode die eerder werd gedemonstreerd. De serie handelingen die een gebruiker moet verrichten start op dezelfde manier door gebruik te maken van de Noodoproep-functie in combinatie met de power/standby-knop. Een belangrijk verschil in deze nieuwe methode is echter dat deze ervoor kan zorgen dat het iPhone-scherm op zwart gaat waarna het toestel via USB met de computer verbonden kan worden. Daarmee is het mogelijk om zonder PIN of wachtwoord toegang tot gebruikersdata te krijgen.

“De kwetsbaarheid bevindt zich in de algemene loginmodule van het mobiele iOS-apparaat (iPhone of iPad) wanneer de screenshotfunctie in combinatie met de Noodoproep-functie en power/standy-knop wordt aangeroepen. De kwetsbaarheid stelt de gebruiker in staat om het codeslot via USB in iTunes te omzeilen als een zwart scherm verschijnt”, schrijft Benjamin Kunz Mejri, CEO van Vulnerability Lab die de kwetsbaarheid ontdekte.

In onderstaande video wordt de methode uitvoerig getoond:

Klik om inhoud van YouTube te tonen.
Learn more in YouTube’s privacy policy.

Open “BugBounty Apple iOS v6.1 , v6.0.1 & v6.1.2 iPhone5 – 2x Mobile Pass Code (Auth) Bypass Vulnerability” directly

Volgens de onderzoekers bevindt deze nieuwe kwetsbaarheid zich uitsluitend in iOS 6.1. Apple erkende eerder al dat er sprake was van een kwetsbaarheid en beloofde met een oplossing te komen. Afgelopen week stelde Apple iOS 6.1.2 als kleine update beschikbaar om enkele problemen met Exchange te verhelpen. Maar na deze update bleek het codeslot-lek niet te zijn gedicht. Afgelopen donderdag bracht Apple vervolgens een bèta van iOS 6.1.3 uit voor ontwikkelaars, waarin het lek naar verluidt wel is gedicht. Het is niet duidelijk of deze update, die waarschijnlijk in de aankomende weken zal verschijnen, ook een oplossing biedt voor deze nieuwe variant van de exploit.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Ook interessant

Reacties: 14 reacties

Reacties zijn gesloten voor dit artikel.