Apple verzwijgt mogelijk zero day-kwetsbaarheden in iOS

27-09-2021 | door: Redactie

Apple verzwijgt mogelijk zero day-kwetsbaarheden in iOS

Apple verzwijgt het oplossen van een ernstig lek in iOS en weigert drie andere zero day-kwetsbaarheden aan te pakken. Dat stelt een ethische hacker die het concern maanden geleden informeerde over de problemen.

Wie kwetsbaarheden in iOS ontdekt, kan die melden bij Apple en daar een vergoeding (bug bounty) voor krijgen. Een ethische hacker onder de naam Illusionofchaos geeft aan dat Apple deze belofte niet altijd waarmaakt. Ook communiceert het niet over problemen die wel zijn opgelost.

Kwetsbaarheden ontdekt

In een blogpost legt de ethische hacker uit hoe hij tussen 10 maart en 4 mei vier zero day-kwetsbaarheden ontdekte en meldde bij Apple. Ze komen voor in iOS 14.7, maar werken ook in iOS 15.

Eén zero day-kwetsbaarheid is inmiddels opgelost, maar Apple maakte daar geen melding van in de documentatie rond security patches. Toen de hacker Apple hierop aansprak, zou het bedrijf hebben aangegeven dat het om een vergissing ging. Die is maanden nog niet rechtgezet. De drie andere bugs zitten nog steeds in iOS 15. De ethische hacker stelt uit frustratie over het gebrek aan actie en communicatie van Apple nu zelf met de informatie naar buiten te komen.

Te veel informatie verzameld

Het gaat vrijwel altijd over geïnstalleerde apps die veel meer info dan toegelaten kunnen verzamelen over de gebruiker of het toestel.

  • De opgeloste kwetsbaarheid, Analticsd, maakt het voor geïnstalleerde apps mogelijk om toegang te krijgen tot gevoelige data zoals medische gegevens, geslacht en leeftijd.
  • Gamed is een kwetsbaarheid die via het Game Center werkt, waarbij geïnstalleerde apps toegang krijgen tot de Core Duet-database. daar hebben ze toegang tot tot contacten, sms'en en andere berichten, telefoonnummers, je Apple ID mailadres en volledige naam.
  • Minder ernstig is Nemhelper Enumerate Installed Apps, een kwetsbaarheid waarbij een geïnstalleerde app kan nagaan of een andere app is geïnstalleerd.
  • Tot slot is er Nehelper Wifi Info, een kwetsbaarheid waardoor apps met toegang tot locatiedata info kunnen krijgen over de wifi-verbinding van het toestel.

Illusionofchaos schrijft overigens onderaan zijn blog dat Apple intussen heeft gereageerd en haar excuses aanbiedt voor het trage antwoord. Het bedrijf zou de problemen en een mogelijke oplossing nog onderzoeken.

Dit artikel is tot stand gekomen in samenwerking met Datanews.

Terug naar nieuws overzicht
Security